Mybatis中Like 的使用方式以及一些注意點

做一個積極的人

編碼、改bug、提升自己

我有一個樂園，面向編程，春暖花開！

模糊查詢在項目中還是經常使用的，本文就簡單整理Mybatis中使用Like進行模糊查詢的幾種寫法以及一些常見的問題。

使用Springboot簡單配置一下Mybatis，然后進行說明。Springboot集成Mybatis這里就不做介紹了。

初始數據

方式一

在Mybatis中的第一種寫法：

 <!--有sql注入問題--> <select id="findUserByLikeName1" parameterType="java.lang.String" resultMap="user"> select * from t_user where name like '%${name}%' </select> 

這種會有sql注入的問題，需要明白在 Mybatis中 $ 和 # 使用的區別。這種寫法也不能加jdbcType=VARCHAR,否則也會報錯。

做了個簡單的測試：

@Test public void findUserByLikeName1(){ List<User> test = userMapper.findUserByLikeName1("Cloud"); //select * from t_user where name like '%Cloud%' System.out.println(test.size());// 查出一條 List<User> test1 = userMapper.findUserByLikeName1("' or '1=1"); //select * from t_user where name like '%' or '1=1%' // 分析： '1=1%' 成立 System.out.println(test1.size());// 查出了全部數據 } 

注意：排序的字段也容易出現這個問題，在使用的時候也一定要注意。

order by ${orderBy}

第一種方式在實際開發過程中千萬要注意，不要寫成這樣了。

方式二

在Mybatis中的第二種寫法：

 <!--直接在代碼中拼接%, 不存在sql注入--> <select id="findUserByLikeName2" parameterType="java.lang.String" resultMap="user"> select * from t_user where name like #{name,jdbcType=VARCHAR} </select> 

在代碼中加上%。

@Test public void findUserByLikeName2(){ String name = "Cloud"; List<User> test = userMapper.findUserByLikeName2("%" +name+"%"); // select * from t_user where name like ? // %Cloud%(String) System.out.println(test.size()); } 

這種方式在一些項目中也會看到。如果沒有使用如Mybatis等ORM框架，直接寫sql查詢就這樣拼接了。

方式三

在Mybatis中的第三種寫法：

 <!--concat Mysql和 Oracle區別 ,不存在sql注入--> <select id="findUserByLikeName3" parameterType="java.lang.String" resultMap="user"> select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') </select> 

測試：

@Test public void findUserByLikeName3(){ String name = "Cloud"; List<User> test = userMapper.findUserByLikeName3(name); // select * from t_user where name like concat('%',?,'%') // Cloud(String) System.out.println(test.size()); } 

在實際開發中推薦使用這種方式。

小注意

當使用方式三的時候，如果查詢的關鍵字就是% ，那情況會是什么？ 初始化數據中name有9條數據中包含%。

查詢的sql如下：

select * from t_user where name like concat('%','%','%')

查出來全部的數據，並不是只包含了%的數據，如果查詢_也是一樣的。

那這種情況肯定是不滿足查詢需求的，則需要調整。

①在代碼中進行轉義

@Test public void findUserByLikeName3(){ String name = "%"; name = name.replaceAll("_", "\\\\_"); name = name.replaceAll("%", "\\\\%"); List<User> test = userMapper.findUserByLikeName3(name); System.out.println(test.size()); } 

②使用ESCAPE

<select id="findUserByLikeName4" parameterType="java.lang.String" resultMap="user"> select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE '/' </select> 

測試：

@Test public void findUserByLikeName4(){ // replaceAll("%", "/%").replaceAll("_", "/_") String name = "%"; List<User> test = userMapper.findUserByLikeName4(name); System.out.println(test.size());// 查到全部 List<User> test1 = userMapper.findUserByLikeName4("/" +name); System.out.println(test1.size());//查到匹配%的記錄 } 

這兩種本質都是對查詢的關鍵字進行了處理，這種處理在代碼中可以使用攔截器或者AOP等技術統一處理。

小總結

1、不要寫方式1的這種模糊查詢，容易發生sql注入！

建議使用第三種方式進行模糊查詢

2、上面這三種模糊查詢，都是使用%關鍵字%，這種方式是不會走索引的，大數據量時候有查詢效率問題

看情況，可以使用全文索引；或者使用ES進行

說明：網上有一些優化like的查詢的，但是親測后沒啥用

3、注意關鍵詞中有%、_這些特殊字符如何處理。

1、業務上不允許輸入這些字符，直接過濾（前台、后台過濾）

2、使用上面的ESCAPE或者轉義

備注： 由於本人能力有限,文中若有錯誤之處,歡迎指正。