首页 > 编程语言 > 详细

java-mybaits-017-mybatis知识点like

时间:2021-01-30 10:33:28      阅读:24      评论:0      收藏:0      [点我收藏+]

一、概述

mysql like

Select * from user where name like %lhx%;

方式一、直接编写

  <select id="queryList" parameterType="com.github.bjlhx15.User">
    select *
    from user
    where name like #{name};
  </select>

使用时:需要在调用处手动的去添加“%”通配符。如:

User user=new User();
user.setName("%bjlhx15%");
mapper.queryList(user);

方式二、$方式

  <select id="queryList" parameterType="com.github.bjlhx15.User">
    select *
    from user
    where name like ‘%${name}%‘;
  </select>

使用方式

User user=new User();
user.setName("bjlhx15");
mapper.queryList(user);

注意,以下两种错误用法

where name like %#{name}%; //缺失单引号
where name like ‘%#{name}%‘; //当成是一个字符串,#{}在字符串中不能识别,需要用${}

问题:通过$的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。

方式三、mysql函数方式

既能够解决sql注入又能在配置文件中写%该如何实现呢,可以借助mysql的函数。

  <select id="queryList" parameterType="com.github.bjlhx15.User">
    select *
    from user
    where name like concat(‘%‘,#{name},‘%‘);
  </select>

或者

  <select id="queryList" parameterType="com.github.bjlhx15.User">
    select *
    from user
    where name like concat(‘%‘,‘${name}‘,‘%‘);
  </select>

也可以使用$,不过需要特别留意单引号的问题。

测试:

User user=new User();
user.setName("bjlhx15");
mapper.queryList(user);

小结:

#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。

${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。

 

java-mybaits-017-mybatis知识点like

原文:https://www.cnblogs.com/bjlhx/p/14347971.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!