MyBatis模糊查询的三种拼接方式

本文转载自查看原文 2019-03-17 11:00 4634 数据库

1. sql中字符串拼接

SELECT * FROM tableName WHERE name LIKE CONCAT(CONCAT('%', #{text}), '%');

2. 使用 ${...} 代替 #{...}

SELECT * FROM tableName WHERE name LIKE '%${text}%';

${}解析过来的参数值不带单引号，#{}解析传过来参数带单引号。

使用第二种${}的拼接存在sql注入攻击的风险，例如例2中查询的是

1' or 1=1 or '1

就会返回所有数据，这只是个最简单的方式，而在java代码中先拼接好字符串

然后#{text}传入能避免这个问题。

3. 程序中拼接

Java

// or String searchText = "%" + text + "%";

String searchText = new StringBuilder("%").append(text).append("%").toString();

parameterMap.put("text", searchText);

SqlMap.xml

SELECT * FROM tableName WHERE name LIKE #{text};

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 mybatis 模糊查询 like的三种方式 MyBatis中模糊查询LIKE的三种方式 MyBatis 模糊查询的 4 种方式模糊查询三种解决方式 MyBatis系列：模糊查询的4种实现方式 sort：表单模糊查询的三种简单方式（springboot-h2-mybatis） mybatis模糊查询拼接查询语句 mybatis注解模糊查询的两种方式 MyBatis模糊查询的几种方式 mybatis中模糊查询的方式