java-mybaits-017-mybatis知识点like
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了java-mybaits-017-mybatis知识点like,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1544字,纯文字阅读大概需要3分钟。
内容图文
一、概述
mysql like
Select * from user where name like '%lhx%';
方式一、直接编写
<select id="queryList" parameterType="com.github.bjlhx15.User"> select * from user where name like #{name}; </select>
使用时:需要在调用处手动的去添加“%”通配符。如:
User user=new User(); user.setName("%bjlhx15%"); mapper.queryList(user);
方式二、$方式
<select id="queryList" parameterType="com.github.bjlhx15.User"> select * from user where name like '%${name}%'; </select>
使用方式
User user=new User(); user.setName("bjlhx15"); mapper.queryList(user);
注意,以下两种错误用法
where name like %#{name}%; //缺失单引号
where name like '%#{name}%'; //当成是一个字符串,#{}在字符串中不能识别,需要用${}
问题:通过$的方式拼接的sql语句,不再是以占位符的形式生成sql,而是以拼接字符串的方式生成sql,这样做带来的问题是:会引发sql注入的问题。
方式三、mysql函数方式
既能够解决sql注入又能在配置文件中写%该如何实现呢,可以借助mysql的函数。
<select id="queryList" parameterType="com.github.bjlhx15.User"> select * from user where name like concat('%',#{name},'%'); </select>
或者
<select id="queryList" parameterType="com.github.bjlhx15.User"> select * from user where name like concat('%','${name}','%'); </select>
也可以使用$,不过需要特别留意单引号的问题。
测试:
User user=new User(); user.setName("bjlhx15"); mapper.queryList(user);
小结:
#{ }是预编译处理,MyBatis在处理#{ }时,它会将sql中的#{ }替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值两边加上单引号,使用占位符的方式提高效率,可以防止sql注入。
${}:表示拼接sql串,将接收到参数的内容不加任何修饰拼接在sql中,可能引发sql注入。
内容总结
以上是互联网集市为您收集整理的java-mybaits-017-mybatis知识点like全部内容,希望文章能够帮你解决java-mybaits-017-mybatis知识点like所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。