SQL中LIKE '%' 与 PreparedStatement的占位符 ? 使用方法

最新推荐文章于 2024-08-21 18:18:13 发布
最新推荐文章于 2024-08-21 18:18:13 发布
阅读量6.2k 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 数据库 文章标签: SQL 数据库 Java 模糊查询 预处理查询
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/L_BestCoder/article/details/70875183

LIKE name='%xxx%'是SQL提供的一种模糊查询方式,用%号代替任意字符。

PreparedStatement是Java提供的一种包含预处理的数据库连接查询方式,这种方式很方便,可以通过如下代码做查询:

PreparedStatement pstm = connection.prepareStatement("SELECT * FROM t1 WHERE name=?");
问号就是占位符,接下来只要通过注入方式在?的位置注入想要注入的就行,可以是字符串,也可以是int类型。

注入代码:

pstm.setString(1, "abc");



这样是不是很方便,免去了 如果name是变量时 的字符串拼接。



但是当模糊查询与预处理注入方式结合时,正确的使用方式是这样的。


只需要更改注入的东西就可以,第一句生成PreparedStatement对象时的SQL语句不用改,不用在SQL语句里写%。


pstm.setString(1, "%abc%");








                

        

    

  



    



                



	

		

			

				
					
SQL LIKE 语句详解

				
			

			

				

					wjs2024的博客
				

				

					04-06
					
					1695
					
				

			

		

		

			
				
LIKE语句用于在SELECTWHEREORDER BY等语句中执行模式匹配。它允许用户在查询中指定一个模式,然后数据库系统会根据该模式搜索符合条件的数据。LIKE语句是SQL中常用的字符串匹配操作符,可以帮助用户在数据库中搜索符合特定模式的数据。本文详细介绍了LIKE语句的用法、通配符、特殊字符以及注意事项,希望对您有所帮助。

			
		

	



                

            
              



	

		

			

				
					
mysqllike语句注入_like查询中的SQL注入

				
			

			

				

					weixin_39643865的博客
				

				

					01-19
					
					4352
					
				

			

		

		

			
				
list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");for(School school : list){System.out.println(school.getName());}}catch(Exception e){e.printStackTrace();}}用p6spy查看最后生成的sql语句:Sql代码sql1:select *...

			
		

	



              


  
              

                


	

		

			

				
					
PreparedStatement

				
			

			

				

					小小海豚呀
				

				

					01-31
					
					196
					
				

			

		

		

			
				
Statement是将java查询语句发送到mysql中的管道,但是有sql注入问题,就是它都是以字符串拼接的方式来发送的,如果传值为1 or 1或1=1这种一定为true的东西过去,会有安全隐患
例如 SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’

PreparedState所代表sql语句可以使用占位符"?",一个占位符就代表了sql语句里的一个未知参数,调用Prep

			
		

	





	

		

			

				
					
索引 1 超出范围&rs结果集为空&SQLLIKE '%'  PreparedStatement占位符 ?问题

				
			

			

				

					墨无名
				

				

					12-24
					
					368
					
				

			

		

		

			
				
数据是传过来了,但是到后面就不对了,查了很多都没解决,谁能帮帮我
这是servlet代码
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		request.setCharacterEncoding("utf-...

			
		

	



		

			
		



	

		

			

				
					
sql占位符

				
			

			

				

					IT人生
				

				

					09-12
					
					345
					
				

			

		

		

			
				

sql占位符

'_'
':'

 
 


			
		

	





	

		

			

				
					
JAVA——prepareStatementSQL语句中占位符(?)替换表名和字段名

				
			

			

				

					无限迭代中......
				

				

					01-11
					
					5558
					
				

			

		

		

			
				
基本概念


PreparedStatement:Statement的改良版,具有预编译功能,方便使用,运行速度快。


问题描述

1.根据测试占位符?不能用于表名


String strSql="SELECT * FROM ?";
try(PreparedStatement ps=conn.prepareStatement(strSql)) {
  ps.setObject(1,"per...

			
		

	





	

		

			

				
					
聊聊 SQL 语句中的占位符

				
			

			

				

					yangshuquan的专栏
				

				

					08-21
					
					1485
					
				

			

		

		

			
				
大家都知道,在 SQL 语句中,可以使用 LIKE 进行模糊查询,但可能大家不知道的是,LIKE 语句的占位符除了 % 占位符之外,还有 _ 占位符,理解这些占位符可以帮助我们更有效地构造查询并进行字符串匹配,提高程序性能

			
		

	





	

		

			

				
					
SQL语法之LIKE 操作符

				
			

			

				

					Redhat_yan
				

				

					08-18
					
					892
					
				

			

		

		

			
				
SQL学习

			
		

	





	

		

			

				
					
sql语句中占位符使用

					
最新发布

				
			

			

				

					01-04
				

			

		

		

			
				
在编写SQL查询时,使用占位符是一种有效的方法来预防SQL注入攻击并简化代码逻辑。通过采用预编译语句和参数化查询的方式,可以显著提高应用程序的安全性和性能。  #### C# 中使用命名参数作为占位符 对于C#开发环境...

			
		

	





	

		

			

				
					
String sql="select * from room where ? like '%"+?+"%'";报错怎么解决

				
			

			

				

					06-08
				

			

		

		

			
				
另外,在使用预编译语句时,占位符的值必须通过setXXX()方法设置,而不能直接拼接到SQL语句中。  因此,您的SQL语句中的占位符应该替代列名,而不是表名。例如,假设您要查询名字中包含“张”的房间记录,您的SQL...

			
		

	





	

		

			

				
					
Java JDBC技术:(六)SQL 注入PreparedStatement 对象的使用-5000字匠心出品

				
			

			

				

					地球村
				

				

					05-15
					
					592
					
				

			

		

		

			
				
SQL 注入PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过

			
		

	





	

		

			

				
					
检查javasql语句"select * from vactivity where title like '%?%'"的问题

				
			

			

				

					05-13
				

			

		

		

			
				
这个 SQL 语句中的 `%?%` 是有问题的,因为 `?` 是占位符,不应该被包含在引号中。正确的写法应该是使用 `LIKE ?`,然后在执行查询语句时传递参数进去。例如:  ```java String sql = "SELECT * FROM vactivity ...

			
		

	





	

		

			

				
					
mysql语句占位符_sql语句中的占位符?有什么作用

				
			

			

				

					weixin_39793553的博客
				

				

					01-20
					
					3398
					
				

			

		

		

			
				
String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ;pstmt = conn.prepareStatement(sql) ;pstmt.setString(1,userid) ; // 这里设置了第一个?的值pstmt.setString(2,password) ; // 这里设置了第二个?的值 等...

			
		

	





	

		

			

				
					
sql使用占位符时,like字句的处理

				
			

			

				

					彪叔的博客
				

				

					03-09
					
					3702
					
				

			

		

		

			
				
为了防止sql注入,一般使用"?"作为占位符,但是遇到需要like条件的时候,就有有点小问题
   sb.append("and functionName like ? ");
   params.add("%" + functionName + "%");
以上这个小技巧是比较好的解决方案,然而我每次都要忘记,在此记录存档!

...

			
		

	





	

		

			

				
					
Sql中的like用法

					
热门推荐

				
			

			

				

					笑看江湖
				

				

					06-15
					
					6万+
					
				

			

		

		

			
				
Like中的通配符包含有:


			通配符
			
			
			Description
			
			
			示例
			
		
			%
			
			
			包含零个或多个字符的任意字符串。
			
			
			WHERE title LIKE '%computer%'将查找在书名中任意位置包含单词"computer"的所有书名。
			
		
			_(下划线)
			
			
			任何单个字符。
			
			
			WHERE au_fname LIKE '_ean'将查找以e...

			
		

	





	

		

			

				
					
7.PreparedStatement使用占位符

				
			

			

				

					T_P_F的博客
				

				

					10-31
					
					1203
					
				

			

		

		

			
				
各种字段对应的set方法

PreparedStatement stat = conn.preparedStatement(sql);

1.VARCHAR2

stat.setString();

2.NUMBER

stat.setString();

3.TIMESTAMP

stat.setTimestamp(int, timestamp);

4.DATE

stat.setDate(i...

			
		

	





	

		

			

				
					
SQL LIKE 运算符:用法、示例和通配符解释

				
			

			

				

					石头的博客
				

				

					11-24
					
					1036
					
				

			

		

		

			
				
SQL LIKE 运算符:用法、示例和通配符解释

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值