文章插图
做一个积极的人模糊查询在项目中还是经常使用的,本文就简单整理Mybatis中使用Like进行模糊查询的几种写法以及一些常见的问题 。
编码、改bug、提升自己
我有一个乐园,面向编程,春暖花开!
使用Springboot简单配置一下Mybatis,然后进行说明 。Springboot集成Mybatis这里就不做介绍了 。
初始数据
文章插图
方式一
在Mybatis中的第一种写法:
<!--有sql注入问题--> <select id="findUserByLikeName1" parameterType="JAVA.lang.String" resultMap="user"> select * from t_user where name like '%${name}%' </select>这种会有sql注入的问题,需要明白在 Mybatis中 $ 和 # 使用的区别 。这种写法也不能加jdbcType=VARCHAR,否则也会报错 。
做了个简单的测试:
@Testpublic void findUserByLikeName1(){ List<User> test = userMApper.findUserByLikeName1("Cloud"); //select * from t_user where name like '%Cloud%' System.out.println(test.size());// 查出一条 List<User> test1 = userMapper.findUserByLikeName1("' or '1=1"); //select * from t_user where name like '%' or '1=1%' // 分析: '1=1%' 成立 System.out.println(test1.size());// 查出了全部数据}注意:排序的字段也容易出现这个问题,在使用的时候也一定要注意 。
order by ${orderBy}第一种方式在实际开发过程中千万要注意,不要写成这样了 。
方式二
在Mybatis中的第二种写法:
<!--直接在代码中拼接%, 不存在sql注入--> <select id="findUserByLikeName2" parameterType="java.lang.String" resultMap="user"> select * from t_user where name like #{name,jdbcType=VARCHAR} </select>在代码中加上% 。
@Testpublic void findUserByLikeName2(){ String name = "Cloud"; List<User> test = userMapper.findUserByLikeName2("%" +name+"%"); // select * from t_user where name like ? // %Cloud%(String) System.out.println(test.size());}这种方式在一些项目中也会看到 。如果没有使用如Mybatis等ORM框架,直接写sql查询就这样拼接了 。
方式三
在Mybatis中的第三种写法:
<!--concat MySQL和 Oracle区别 ,不存在sql注入--> <select id="findUserByLikeName3" parameterType="java.lang.String" resultMap="user"> select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') </select>测试:
@Testpublic void findUserByLikeName3(){ String name = "Cloud"; List<User> test = userMapper.findUserByLikeName3(name); // select * from t_user where name like concat('%',?,'%') // Cloud(String) System.out.println(test.size());}在实际开发中推荐使用这种方式 。
小注意
当使用方式三的时候,如果查询的关键字就是%,那情况会是什么? 初始化数据中name有9条数据中包含% 。
查询的sql如下:
select * from t_user where name like concat('%','%','%')查出来全部的数据,并不是只包含了%的数据,如果查询_也是一样的 。
那这种情况肯定是不满足查询需求的,则需要调整 。
①在代码中进行转义
@Testpublic void findUserByLikeName3(){ String name = "%"; name = name.replaceAll("_", "\\_"); name = name.replaceAll("%", "\\%"); List<User> test = userMapper.findUserByLikeName3(name); System.out.println(test.size());}②使用ESCAPE
<select id="findUserByLikeName4" parameterType="java.lang.String" resultMap="user">select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE '/'</select>测试:
@Testpublic void findUserByLikeName4(){ // replaceAll("%", "/%").replaceAll("_", "/_") String name = "%"; List<User> test = userMapper.findUserByLikeName4(name); System.out.println(test.size());// 查到全部 List<User> test1 = userMapper.findUserByLikeName4("/" +name); System.out.println(test1.size());//查到匹配%的记录}这两种本质都是对查询的关键字进行了处理,这种处理在代码中可以使用拦截器或者AOP等技术统一处理 。
小总结
1、不要写方式1的这种模糊查询,容易发生sql注入!
建议使用第三种方式进行模糊查询
推荐阅读
- 那种男人性功能强
- 花草茶混搭容易中毒,身凉可喝玫瑰花茶
- 鞋|康奈集团创始人郑秀康逝世:曾获中国鞋业大王称号
- 中国历史上四大美男是谁 历史4大美男
- 宋代的婚姻和妇女生活
- 如何挑选面包
- 如何挑选小扁豆
- 如何挑选意大利面
- 如何挑选魔芋
- 海派茶叶市场概述,中级茶叶拍卖价行情总体平稳,中级茶叶拍卖
