Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL

已于 2023-10-02 15:15:55 修改
阅读量1.1k 收藏 4
点赞数 2
分类专栏: Spring全家桶 文章标签: mybatis sql java
于 2023-10-01 19:17:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65492194/article/details/133464628
版权

                                                                                                         ----keep moving

目录

一:#{}和${}的区别

 1.1:实例

1.1.1:Mapper中声明的方法:

1.1.2:XML中的配置

1.1.3:生成测试方法+运行结果

二:SQL注入问题 

2.1:实例

2.1.1Mapper中声明的方法

2.1.2:XML中的配置

2.2.3:生成测试方法+运行结果

2.2:由${}引出的SQL注入问题

2.2.1测试的代码

2.2.2: XML中的配置

2.2.3:运行结果:

2.3:什么时候用${}

三:like模糊查询

3.1实例

3.1.1:Mapper中声明的方法

3.1.2:XML中的配置

3.1.3:生成测试方法+运行结果

3.2如何进行解决 

四:多表查询

4.1:当数据库里面的字段名和对象的属性名不一致时

4.1.1解决方案一:

4.1.2解决方案二:(常用的方案)

4.2:一对一多表查询

4.3:一对多查询 

4.4:多对多查询 

五:动态SQL 

5.1:标签 

5.1.1:使用案例 

5.2:标签

5.2.1使用案例 

5.3:标签 

5.4:标签 

 5.4.1使用案例:

5.5:标签

​编辑 5.5.1使用案例:

一:#{}和${}的区别

    在上一篇博客中,我们在博客的末尾简单的总结了#{},${},这两个注解的区别。那么,这篇博客我们来详细的了解两者的区别。

#{}:将其内容加上单引号。

${}:直接进行替换。常用于替换SQL中的关键字,eg:desc/asc。

 1.1:实例

我们按照userinfo的id将用户的信息按降序排序。

1.1.1:Mapper中声明的方法:

  List<UserInfo> getlistByOrder(@Param("order") String order);

1.1.2:XML中的配置

  <select id="getlistByOrder" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo order by id ${order}
    </select>

1.1.3:生成测试方法+运行结果

 @Test
    void getlistByOrder() {
        String order="desc";
        List<UserInfo> userInfos = userMapper.getlistByOrder(order);
        for (UserInfo userInfo : userInfos) {
            System.out.println(userInfo);

        }
    }

如上图所示,我们会发现当把order这个字符串传进去的时候,由${}进行处理,此时,直接进行了替换,并没有进行加''。这是最本质的区别。 

二:SQL注入问题 

       从上文我们可以了解到,${}和#{}最本质的区别是一个加了单引号,一个直接进行替换。那么,如果我们将#{}替换成${}会发生什么?下面,我们将利用登录这一假设的实例:

2.1:实例

2.1.1Mapper中声明的方法

//输入用户的账户和密码
    UserInfo login(@Param("username") String username,@Param("password")String password);

2.1.2:XML中的配置

 <select id="login" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo where username=${username} and password=${password}
    </select>

2.2.3:生成测试方法+运行结果

   @Test
    void login() {
        String username="李明轩";
        String password="123456";
        UserInfo login = userMapper.login(username, password);
        System.out.println(login==null?"失败":"成功");
    }

从测试用例不难看出,SQL语句出问题了,可见,${}是直接进行替换的。那么,我们在${}加上单引号呢?

<select id="login" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo where username='${username}' and password='${password}'
    </select>

 运行成功:从这一实例不难看出,${}是直接替换的,加上单引号之后,就和#{}拥有一样的功能了。

2.2:由${}引出的SQL注入问题

2.2.1测试的代码

  @Test
    void login() {
        String username="李明轩";
        String password="'or 1= '1 ";
        UserInfo login = userMapper.login(username, password);
        System.out.println(login==null?"失败":"成功");
    }

2.2.2: XML中的配置

  <select id="login" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo where username='${username}' and password='${password}'
    </select>

2.2.3:运行结果:

 通过上述测试,我们发现当用户存在时,密码不正确时,同样也可以将其用户信息打印出来,为什么呢?

2.3:什么时候用${}

三:like模糊查询

 在前面我们学习SQL语句中,有模糊查询,为like。我们在mybatis来使用一下like查询。

3.1实例

3.1.1:Mapper中声明的方法

  //查询用户名字中含有李的用户信息
    List<UserInfo> getListByName(String username);

3.1.2:XML中的配置

 <select id="getListByName" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo where username like '%#{username}%'
    </select>

3.1.3:生成测试方法+运行结果

 @Test
    void getListByName() {
        String username="李";
        List<UserInfo> userInfos = userMapper.getListByName(username);
        System.out.println(userInfos);
    }

我们会发现,当这样运行的时候,SQL语句会爆出错误,为什么呢?

3.2如何进行解决 

利用mysql中提供的concat进行拼接。我们来进行验证。

 <select id="getListByName" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo where username like concat('%',#{username},'%')
    </select>

 运行结果:

可见,当我们使用SQL语句中的普通的like模糊查询时,要注意利用concat进行拼接。

四:多表查询

4.1:当数据库里面的字段名和对象的属性名不一致时

看如下两张图:我们会发现数据库中的字段名的username和对象的 name不一致,我们该如何解决?

数据库中的字段名:

对象的属性名:

@Data
public class UserInfo {
     private int id;
    private String name;
    private String password;
    private String photo;
    private LocalDateTime createtime;
    private LocalDateTime updatetime;
    private int state;
}

4.1.1解决方案一:

首先在*Mapper.xml声明对ResultMap的配置:

 <resultMap id="baseMap" type="com.example.demo10.entity.UserInfo">
        <id column="id" property="id"></id>
        <result column="usernmae" property="name"></result>
        <result column="password" property="password"></result>
        <result column="photo" property="photo"></result>
        <result column="createtime" property="createtime"></result>
        <result column="updatetime" property="updatetime"></result>
        <result column="state" property="state"></result>
    </resultMap>

  <select id="getAll1" resultMap="baseMap">
        select * from userinfo;
    </select>

Mapper中的声明方法:

 

 //查询所有的用户
    List<UserInfo> getAll1();

生成测试方法+运行结果:

@Test
    void getAll1() {
        List<UserInfo> all1 = userMapper.getAll1();
        for (UserInfo userInfo : all1) {
            System.out.println(userInfo);
        }
    }

4.1.2解决方案二:(常用的方案

 <select id="getAll1" resultType="com.example.demo10.entity.UserInfo" >
        select id,username as name ,password,photo,createtime,updatetime,state from userinfo
    </select>

生成测试方法+运行结果:

 @Test
    void getAll1() {
        List<UserInfo> all1 = userMapper.getAll1();
        for (UserInfo userInfo : all1) {
            System.out.println(userInfo);
        }
    }

运行结果:

4.2:一对一多表查询

目标要求;我们设计了两张表,用户表和文章表,那么,我们需要利用用户表的id对应文章表的uid,并查询出文章表的所有信息和用户名称

用户表:

文章表:

在entity的目录下创建视图类和文章类。

文章类

文章视图类

将所需要两张表查询的所有信息创建一个试图类,依据要求,此类需要包括用户的姓名和文章表的所有信息。

Mapper中声明的方法:

@Mapper
public interface ArticleMapper {
    ArticleinfoView getAll(Integer id);
}

XML中的配置:

<mapper namespace="com.example.demo10.mapper.ArticleMapper">

    <select id="getAll" resultType="com.example.demo10.entity.ArticleinfoView">
        select a.*,u.username from articleinfo a left join userinfo  u  on u.id=a.uid
         where a.id=#{u.id}
    </select>
</mapper>

生成测试方法+运行结果:

@SpringBootTest
@Transactional

class ArticleMapperTest {
  @Autowired
  private ArticleMapper articleMapper;
    @Test
    void getAll() {
        ArticleinfoView all = articleMapper.getAll(1);
        System.out.println(all);



    }
}

运行结果:

4.3:一对多查询 

实现目标:查询一个用户有多少个文章时,我们可以用一条SQL语句进行查询。

 <select id="getAll1" resultType="com.example.demo10.entity.ArticleinfoView">
        select * from articleinfo where uid=#{id};
    </select>

4.4:多对多查询 

针对多对多查询,可以看成是两个一对多查询。

五:动态SQL 

当我们使用普通的SQL解决不了问题时,可以采用动态SQL解决问题。有如下五个动态SQL。

5.1:<if>标签 

5.1.1:使用案例 

Mapper中声明的方法:

//添加用户信息
    int add2(UserInfo userInfo);

XML中的配置:

 <insert id="add2">
        insert into userinfo(
                             username,
                             <if test="photo!=null">
                                 photo,
                             </if>
                             password
        )values (#{username},
                <if test="photo!=null">
                    #{photo},
                </if>
             password=#{password})
    </insert>

测试方法+运行结果

 void add2() {
        UserInfo userInfo=new UserInfo();
        userInfo.setUsername("李四");
        userInfo.setPassword("12345");
        userInfo.setPhoto(null);
        int i = userMapper.add2(userInfo);
        System.out.println(i);
    }

5.2:<trim>标签

5.2.1使用案例 

Mapper中声明的方法:

 //添加用户信息
    int add3(UserInfo userInfo);

XML中的配置:

<insert id="add3">
        insert into userinfo
        <trim prefix="(" suffix=")" suffixOverrides=",">
            <if test="username!=null">
                username,
            </if>
            <if test="password!=null">
                password,
            </if>
            <if test="photo=null">
                photo
            </if>
        </trim>
            values
                <trim prefix="(" suffix=")" suffixOverrides="," >
                    <if test="username!=null">
                        #{username},
                    </if>
                    <if test="password!=null">
                        #{password},
                    </if>
                    <if test="photo=null">
                        #{photo},
                    </if>
                </trim>
    </insert>

测试方法+运行结果:

 @Test
    void add3() {
        UserInfo userInfo=new UserInfo();
        userInfo.setUsername("老六");
        userInfo.setPassword("123456");
        userInfo.setPhoto(null);
        int i = userMapper.add2(userInfo);
        System.out.println(i);
    }

5.3:<set>标签 

5.4:<where>标签 

<where><if> 进行组合.

如果我们将and加在第一个<if>标签下,当第二个<if>标签不成立,此时,会对整个sql产生影响,整个SQL

select * from userinfo where username=#{username} and 

上面这个语句便会报错,不符合整个SQL的语句规范。

当条件不成立时,if条件后的内容包括and也不会存在,因此会对整个sql语句产生影响。

注意and关键字要放在每个<if>语句中的库表字段赋值的前面。因为,一旦判断不成功,<where> 会把对应的and关键字去掉(还有or关键字)。

 5.4.1使用案例:

Mapper中的声明的方法:

//查询用户的信息,当传入的用户,密码其中一条为空时,能不能查询到信息
    UserInfo getall(String username,String password);

XML中的配置:

<select id="getall" resultType="com.example.demo10.entity.UserInfo">
        select * from userinfo
        <where>
            <if test="username!=null">
                username=#{username}
            </if>
            <if test="password!=null">
               and password=#{password}
            </if>
        </where>
    </select>

测试方法+运行结果:

  @Test
    void getall() {
        String usernmae="李明轩";
        String password=null;
        UserInfo getall = userMapper.getall(usernmae, password);
        System.out.println(getall);
    }

5.5:<foreach>标签

当我们想要根据多个id删除多个数据时,我们使用的SQL语句如下:

delete from userinfo where id in(id1,id2,id23)

那么,我们借助<foreach>可以完成操作。

 5.5.1使用案例:

Mapper中声明的方法:

  //根据多条id删除数据
    int dels(List<Integer> ids);

XML中的配置:

<delete id="dels">
        delete from userinfo
        where id in
            <foreach collection="ids" item="id" open="(" close=")" separator=",">
                #{id}
            </foreach>
    </delete>

测试方法+运行结果:

  @Test
    void dels() {
        List<Integer> list=new ArrayList<>();
        list.add(6);
        list.add(7);
        int dels = userMapper.dels(list);
        System.out.println(dels);
    }

DJ懒羊羊。
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Mybatis动态SQL模糊查询
了凡
09-18 1929
Mybatis动态SQL模糊查询创建User表CREATE TABLE d_user ( id INT PRIMARY KEY AUTO_INCREMENT, name VARCHAR(10), age INT(3) ); insert into d_user(name,age) values('Tom',12); insert into d_user(name,age)
Mybatis动态SQL(批量添加删除多表查询(一对多多对一))
a1608326758的博客
11-26 1304
Mybatis动态SQL(批量添加/删除/多表查询(一对多/多对一)) 项目准备 我们先导入所需要的sql文件 数据库中有三张表 分别是 product employee department department CREATE TABLE `department` ( `id` bigint(20) NOT NULL AUTO_INCREMENT, `name` varchar(30) DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=
Mybatis模糊查询Like的三种方式
热门推荐
热爱技术,享受生活
12-14 3万+
在实际项目中,我们会经常对数据做一些模糊查询的操作,这时候就需要利用到 `like` 字段,那么在Mybatis中,有哪些方式可以实现模糊查询呢?这里就简单的介绍下:Mybatis模糊查询Like的三种方式,如果对你有帮助,码文不易,请一键三连,万分感谢。
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
mybatis动态sql语句like concat(“%“,#{xm},“%“)
最新发布
weixin_60948956的博客
06-26 333
foreach有几个属性:collection:遍历的集合 item:遍历出来的元素 separator:分割符 open:遍历开始前拼接的SQL片段 close:遍历结束后拼接的SQL片段。2、SQL语句中的like模糊查询 xm like '%小米%',但开发中经常用到 xm like concat("%",#{xm},"%"),可以防止sql注入。5、动态标签:一般用于批量操作,比如批量查询或删除。
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3097
MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
MyBatis | MyBatis模糊查询LIKE的三种方式
quwenjing_blog
11-09 4010
模糊匹配 字符串模糊匹配:使用 like 关键字 %:表示一个或者是多个字符 _:表示一个字符 需求:查询student表中用户名含L的所有用户 select * from student where Sname like %L%; 写法1:直接将通配符拼接在参数上 selectStudentByName("%L%") 写法2:使用MySQL提供的concat函数 MySQL还提供字符串拼接的方法:concat(x1,x2) ->x1x2 <sele..
MyBatis动态SQL——模糊查询 LIKE
梦里逆天的博客
12-16 2406
一、like '%?%' SELECT * FROM t_usr WHERE name like '%${name}%' SQL解析为:SELECT * FROM t_usr WHERE name like '%海%' 传参必须用${}不能用#{},这样写的弊端是不安全,不能防sql注入 有关LIKE使用,请参见:https://blog.csdn.net/wrs120/articl...
Mybatis模糊查询动态sql语句的用法
08-26
Mybatis模糊查询动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询动态sql语句的支持。本文将详细介绍Mybatis模糊查询动态sql语句的用法。 一、模糊...
利用MyBatis进行不同条件的like模糊查询的方法
08-27
MyBatis中,使用like模糊查询可以使用Example方式进行查询条件的注入。例如: ```java public List<MkUser> searchUser(String type, String condition) { SearchType search = new SearchType(); search....
结合mybatis-plus实现简单不需要写sql多表查询
08-25
通过这种方式,MyBatis-Plus 实现了不需要手写 SQL多表查询,极大地简化了开发过程。不过,值得注意的是,虽然这种方式方便快捷,但在复杂查询场景下可能不如直接编写 SQL 那样灵活。因此,理解 SQL 语句和数据库...
Mybatis中的like模糊查询功能
08-31
Mybatis动态SQL中,我们可以直接在传入的参数中添加`%`符号来实现模糊查询。例如,对于`username`和`password`字段,我们可以在Java代码中设置参数: ```java param.setUsername("%CD%"); param.set...
MybatisPlus自定义Sql实现多表查询的示例
08-24
MybatisPlus自定义Sql实现多表查询的示例 在本文中,我们将探讨如何使用MybatisPlus来实现多表查询的示例。MybatisPlus是一个基于Mybatis的ORM框架,提供了强大的查询功能和灵活的配置方式。通过本文的示例代码,...
mybatissql语句的like语句写法
QQ00821的博客
12-10 1923
&gt; 通用 SELECT * FROM user WHERE 1 = 1 &lt;if test="name != null and name != ''"&gt; &lt;bind name="pattern" value="'%' + _parameter.name + '%'" /&gt; AND name LIKE #...
SQL注入
qq_31088019的博客
08-04 1814
sql注入
MyBatis之Like模糊查询的两种实现方式
yuanjinshenglife的专栏
02-15 2710
MyBatis之Like模糊查询的两种实现方式
Mybatis预防SQL注入之like模糊查询整理
qq_34868715的博客
09-11 6903
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。 如果order by语句后用了${},那么不做任何处理的时候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。 ‘#’与 ‘$’ 的区别最大在于:#{} 传入值时,sql解析...
sql注入新玩法-like
lovelj的博客
01-20 2375
一、前言 最近发现一个比较有意思的sql语句,使用like但是没有使用模糊查询,却匹配出了所有的字段 二、学习 1、int 型 n_id存在且n_id=1 n_id存在且n_id=2 由上可知,当字段值类型未int时,字段值=1 like 1(表达式为Ture),即效果为n_id=1,字段值=1 like 2(表达式为False),即效果为n_id=0,mysql中列值从1开始,因此返回为空,n_id=666 ,n_id不存在;进一步验证猜想 ...
mybatis模糊查询like报sql注入问题
dhklsl的专栏
07-19 2198
mybatis模块查询sql注入问题
mybatis动态sql模糊查询
05-09
MyBatis提供了动态SQL的功能,可以根据不同的条件组装不同的SQL语句,实现灵活的查询操作。下面是一个使用动态SQL实现模糊查询的示例: ``` <select id="findUserByName" parameterType="String" resultType="User"> SELECT * FROM user <where> <if test="name != null and name != ''"> AND name like concat('%', #{name}, '%') </if> </where> </select> ``` 这个示例中,使用了`<where>`和`<if>`标签来实现动态SQL。`<where>`标签会在其中包含的条件成立时,自动添加一个WHERE关键字。`<if>`标签根据条件动态生成SQL语句,这里是根据`name`参数是否为空来判断是否需要添加模糊查询条件。 其中`#{name}`是MyBatis的占位符语法,表示接收一个参数,可以直接在SQL语句中使用。这里使用`concat`函数拼接了模糊查询的通配符,实现了模糊查询的功能。 使用这个示例,可以调用如下代码来查询用户: ``` List<User> userList = sqlSession.selectList("findUserByName", "张三"); ``` 这样就可以根据姓名模糊查询用户了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DJ懒羊羊。

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值