• java-mybaits-017-mybatis知识点like


    一、概述

    mysql like

    Select * from user where name like '%lhx%';

    方式一、直接编写

      <select id="queryList" parameterType="com.github.bjlhx15.User">
        select *
        from user
        where name like #{name};
      </select>

    使用时:需要在调用处手动的去添加“%”通配符。如:

    User user=new User();
    user.setName("%bjlhx15%");
    mapper.queryList(user);

    方式二、$方式

      <select id="queryList" parameterType="com.github.bjlhx15.User">
        select *
        from user
        where name like '%${name}%';
      </select>

    使用方式

    User user=new User();
    user.setName("bjlhx15");
    mapper.queryList(user);

    注意,以下两种错误用法

    where name like %#{name}%; //缺失单引号
    where name like '%#{name}%'; //当成是一个字符串,#{}在字符串中不能识别,需要用${}

    问题:通过$的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。

    方式三、mysql函数方式

    既能够解决sql注入又能在配置文件中写%该如何实现呢,可以借助mysql的函数。

      <select id="queryList" parameterType="com.github.bjlhx15.User">
        select *
        from user
        where name like concat('%',#{name},'%');
      </select>

    或者

      <select id="queryList" parameterType="com.github.bjlhx15.User">
        select *
        from user
        where name like concat('%','${name}','%');
      </select>

    也可以使用$,不过需要特别留意单引号的问题。

    测试:

    User user=new User();
    user.setName("bjlhx15");
    mapper.queryList(user);

    小结:

    #{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。

    ${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。

    转载请注明出处,感谢。
    作者:李宏旭
    阅罢此文,如果您觉得本文不错并有所收获,请【打赏】或【推荐】,也可【评论】留下您的问题或建议与我交流。
    你的支持是我不断创作和分享的不竭动力!
  • 相关阅读:
    MSSQL查询表占用空间
    JS字典
    匹配是否指定主域名
    站点文件删除不了提示权限不足
    事件委托发布-订阅
    微信中打开第三方应用
    以Spring Bean配置文件为例解释 xmlns,xmlns:xsi,xsi:schemaLocation
    Hdfs的读出机制
    Hdfs的写入机制
    spring常用注解的作用
  • 原文地址:https://www.cnblogs.com/bjlhx/p/14347971.html
Copyright © 2020-2023  润新知