ibatis like 用法,各数据库的安全拼接方法

最新推荐文章于 2023-04-04 23:40:21 发布
最新推荐文章于 2023-04-04 23:40:21 发布
阅读量1.9k 收藏
点赞数
分类专栏: ORM-Ibatis/Mybatis

$ 的作用实际上是字符串拼接,
select * from $tableName$
等效于
StringBuffer sb = new StringBuffer(256);
sb.append(“select * from “).append(tableName);
sb.toString();

#用于变量替换
select * from table where id = #id#
等效于
prepareStement = stmt.createPrepareStement(“select * from table where id = ?”)
prepareStement.setString(1,’abc’);

————————————————

对于变量部分, 应当使用#, 这样可以有效的防止sql注入, 未来,# 都是用到了prepareStement,这样对效率也有一定的提升

$只是简单的字符拼接而已,对于非变量部分, 那只能使用$, 实际上, 在很多场合,$也是有很多实际意义的
例如
select * from $tableName$ 对于不同的表执行统一的查询
update $tableName$ set status = #status# 每个实体一张表,改变不用实体的状态
特别提醒一下, $只是字符串拼接, 所以要特别小心sql注入问题。
总结如下: 
1.#是把传入的数据当作字符串,如#field#传入的是id,则sql语句生成是这样,order by "id",这当然会报错.. 

2.$传入的数据直接生成在sql里,如#field#传入的是id,则sql语句生成是这样,order by id, 这就对了. 

3.#方式能够很大程度防止sql注入. 

4.$方式无法方式sql注入. 

5.$方式一般用于传入数据库对象.例如传入表名. 

6.一般能用#的就别用$.

OkidoGreen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ibatis拼接字符串
08-20
ibatis 拼接字符串
ibatis 模糊查询
RaoFaming的博客
05-07 144
select id,note from Product id = #id# ...
ibatis根据ArrayList中的数据,取得表中某个字段,并且拼接成一个字符串
wanghl_的博客
05-13 269
select listagg(name,',') within group(order by a.id) from 目标表明 a where 1=1 <iterate prepend="and" open="(" close=")" conjunction="or"> a.id = #rangeList[]# <!-- rangeList是调用方法处传的参数,这里用时,后边要加上[] --> </ite...
MyBatis 中拼接字符串的几种方式
qq_34786108的博客
04-04 1万+
MyBatis 中拼接字符串的几种方式
ibatis 迭代中使用in传递字符串数组或集合时的用法
lee8519的专栏
05-21 2262
SELECT t.autoid as autoid,t.orderNo as orderNo,t.styleno as styleno,t.zdno as zdno  FROM     (SELECT fo.autoid  , fo.orderNo  , foc.styleno  , foc.zdno FROM ripreport_FobOrder fo LEFT JOIN ripr
Ibatis结合MySQL数据库的使用方法Demo
03-03
本工程用于研究Ibatis和MySQL结合使用的方法 本工程编码方式:UTF-8 须执行的SQL语句: CREATE DATABASE `test`; USE `test`; DROP TABLE IF EXISTS `student`; CREATE TABLE `student` ( `id` char(36) NOT NULL...
Spring、Ibatis结合MySQL数据库的使用方法Demo
03-03
本工程用于研究Spring、Ibatis结合MySQL数据库的使用方法 本工程编码方式:UTF-8 须执行的SQL语句: CREATE DATABASE `test`; USE `test`; DROP TABLE IF EXISTS `student`; CREATE TABLE `student` ( `id` char...
Spring数据库访问之iBatis
03-04
为了丰富博客专栏【Spring数据库访问系列】的内容,完善Spring数据库访问的体系,现在我们介绍Spring对iBatis的支持。相对于Hibernate等ORM框架的全自动SQL,那么iBatis则属于半自动化的ORM框架,我们需要编写SQL...
Java封装ibatis操作数据库.rar
03-25
Ibatis底层操作数据库做了DAO层封装
java spring boot ibatis自动访问数据库.zip
09-27
在spring boot下使用ibatis时,经常要写一堆mapper的java文件和xml文件,需要写sql,这个组件提供了不需要写mapper和xml文件,也不需要写sql就可以对数据库就像读写,只需要写一个跟表对应的model实体类就可以了,...
ibatis 连接字符串 SqlMapConfig.xml
03-22
NULL 博文链接:https://wuxiubing.iteye.com/blog/1010635
iBatis连接字符串加密解决方案
hddd2009的博客
03-15 781
解决办法:1.先按照SqlMap.config实例化mapper对象;2.实例化后替换mapper的连接字符串,如下:_mapper.DataSource.ConnectionString = connectString; protected static void InitMapper() { ConfigureHandler h
mybatis动态调用表名和字段名
weixin_30756499的博客
01-29 891
一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名、字段名了。现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助。   动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译...
(总结)ibatis 动态传入表名和列名
热门推荐
11-10 1万+
(总结)ibatis 动态传入表名和列名
[ibatis]动态映射
blueilove2003的专栏
02-15 1463
在复杂查询过程中,我们常常需要根据用户的选择决定查询条件,这里发生变化的并不只是SQL 中的参数,包括Select 语句中所包括的字段和限定条件,都可能发生变化。典型情况,如在一个复杂的组合查询页面,我们必须根据用户的选择和输入决定查询的条件组合。一个典型的页面如下:对于这个组合查询页面,根据用户选择填写的内容,我们应为其生成不同的查询语句。如用户没有填写任何信息即提交查询请求,我们应
总结)ibatis 动态传入表名和列名
hfrujhv的博客
11-11 1634
总结)ibatis 动态传入表名和列名
ibatis如何修改数据库中的序列
最新发布
07-11
具体的语法和方法取决于您使用的数据库类型。 例如,对于 PostgreSQL 数据库,可以使用以下 SQL 语句来修改序列: ```sql ALTER SEQUENCE sequence_name START WITH new_start_value; ALTER SEQUENCE sequence_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值