• Mybatis中Like 的三种使用方式


    方式一

    在Mybatis中的第一种写法:

     <!--有sql注入问题-->
     <select id="findUserByLikeName1" parameterType="java.lang.String" resultMap="user">
          select * from t_user where name like '%${name}%'
      </select>
    
    • 1
    • 2
    • 3
    • 4

    这种会有sql注入的问题,需要明白在 Mybatis中 $# 使用的区别。这种写法也不能加jdbcType=VARCHAR,否则也会报错。

    做了个简单的测试:

    @Test
    public void findUserByLikeName1(){
        List<User> test = userMapper.findUserByLikeName1("Cloud");
        //select * from t_user where name like '%Cloud%'
        System.out.println(test.size());// 查出一条
    
        List<User> test1 = userMapper.findUserByLikeName1("' or '1=1");
        //select * from t_user where name like '%' or '1=1%'
        // 分析: '1=1%' 成立
        System.out.println(test1.size());// 查出了全部数据
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11

    注意:排序的字段也容易出现这个问题,在使用的时候也一定要注意。

    order by ${orderBy}

    第一种方式在实际开发过程中千万要注意,不要写成这样了。

    方式二

    在Mybatis中的第二种写法:

     <!--直接在代码中拼接%, 不存在sql注入-->
     <select id="findUserByLikeName2" parameterType="java.lang.String" resultMap="user">
          select * from t_user where name like #{name,jdbcType=VARCHAR}
      </select>
    
    • 1
    • 2
    • 3
    • 4

    在代码中加上%

    @Test
    public void findUserByLikeName2(){
        String name = "Cloud";
        List<User> test = userMapper.findUserByLikeName2("%" +name+"%");
        // select * from t_user where name like ?
        // %Cloud%(String)
        System.out.println(test.size());
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    这种方式在一些项目中也会看到。如果没有使用如Mybatis等ORM框架,直接写sql查询就这样拼接了。

    方式三

    在Mybatis中的第三种写法:

     <!--concat Mysql和 Oracle区别 ,不存在sql注入-->
      <select id="findUserByLikeName3" parameterType="java.lang.String" resultMap="user">
          select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%')
      </select>
    
    • 1
    • 2
    • 3
    • 4

    测试:

    @Test
    public void findUserByLikeName3(){
        String name = "Cloud";
        List<User> test = userMapper.findUserByLikeName3(name);
        // select * from t_user where name like concat('%',?,'%')
        // Cloud(String)
        System.out.println(test.size());
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    在实际开发中推荐使用这种方式。

    小注意

    当使用方式三的时候,如果查询的关键字就是% ,那情况会是什么? 初始化数据中name有9条数据中包含%

    查询的sql如下:

    select * from t_user where name like concat(’%’,’%’,’%’)

    查出来全部的数据,并不是只包含了%的数据,如果查询_也是一样的。

    那这种情况肯定是不满足查询需求的,则需要调整。

    ①在代码中进行转义

    @Test
    public void findUserByLikeName3(){
        String name = "%";
        name = name.replaceAll("_", "\\\\_");
        name = name.replaceAll("%", "\\\\%");
    
        List<User> test = userMapper.findUserByLikeName3(name);
        System.out.println(test.size());
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    ②使用ESCAPE

    <select id="findUserByLikeName4" parameterType="java.lang.String" resultMap="user">
    select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE '/'
    </select>
    
    • 1
    • 2
    • 3

    测试:

    @Test
    public void findUserByLikeName4(){
        // replaceAll("%", "/%").replaceAll("_", "/_")
        String name = "%";
        List<User> test = userMapper.findUserByLikeName4(name);
        System.out.println(test.size());// 查到全部
        List<User> test1 = userMapper.findUserByLikeName4("/" +name);
        System.out.println(test1.size());//查到匹配%的记录
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9

    这两种本质都是对查询的关键字进行了处理,这种处理在代码中可以使用拦截器或者AOP等技术统一处理。

    小总结

    推荐使用第三种方式进行模糊查询

  • 相关阅读:
    使用 webpack-cli 零配置打包,真香
    手撕C++入门基础
    基于Levenberg-Marquardt算法的声源定位matlab仿真
    Qt网络编程之搭建Udp通信【单播、组播、广播】
    如何提升链路目标一致性?爱奇艺短视频推荐之粗排模型优化历程
    Openssl, Alert, Fatal, handshake failure 40
    软件测试/测试开发丨利用人工智能ChatGPT编写晋级报告
    泰山OFFICE技术讲座:关于文字方向的几种实现思路
    2022年推荐算法效率开发必备工具榜单
    Tp5中模型Model中字段类型转换与数据完成
  • 原文地址:https://blog.csdn.net/qq_43842093/article/details/127991964