MyBatis 模糊查询

最新推荐文章于 2023-03-08 14:53:09 发布
转载 最新推荐文章于 2023-03-08 14:53:09 发布 · 231 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://baijiahao.baidu.com/s?id=1654523881624000395&wfr=spider&for=pc
文章标签:

#mybatis #sql

本文详细介绍了在MyBatis中实现模糊查询的四种方法,包括手动拼接%,配置文件中使用$,以及使用concat函数。分别阐述了它们的优缺点,如手动拼接可能带来的不便,$符号可能引发的SQL注入问题,以及concat函数的使用方式。同时,补充了MyBatis中#与$的区别,#能防止SQL注入,而$则可能导致安全隐患。

转载自 :MyBatis系列:模糊查询的4种实现方式

方式一:拼接 %

  • java
public List<User> getUserByUsername(String username) {
    // 手动拼接模糊查询字符串
	return userMapper.getUserByUsername('%' + username +'%');
}
  • xml
<select id="getUserByUsername" paramType="string" resultType="user">
	selecct * from user where username like #{username};
</select>

缺点: java代码中需要拼接字符串,稍微麻烦点。



方式二:配置文件中写 %

  • java
public List<User> getUserByUsername(String username) {
   // 手动拼接模糊查询字符串
   return userMapper.getUserByUsername(username);
}
  • xml
<select id="getUserByUsername" paramType="string" resultType="user">
	selecct * from user where username like '%${username}%';
</select>

缺点: MyBatis 的 $ 底层使用的是拼接的方式,存在SQL注入的风险。



方式三:concat 函数

  • java
public List<User> getUserByUsername(String username) {
   // 手动拼接模糊查询字符串
   return userMapper.getUserByUsername(username);
}
  • xml
<select id="getUserByUsername" paramType="string" resultType="user">
	selecct * from user where username like concat('%', #{username}, '%');
</select>


补充知识点

  • MyBatis 使用 # 底层会替换为 ? , 交予 PrepareStatement 去执行,从而避免了SQL注入的问题。
  • $ 则标识拼接字符串,将参数不经过特殊处理直接进行拼接会造成SQL注入的问题。
Mybatis模糊查询——三种定义参数方法和聚合查询、主键回填
qq_53317005的博客
03-25 4946
Mybatis模糊查询——三种定义参数方法和聚合查询、主键回填
Mybatis模糊查询
W1965561714的博客
05-20 1028
一、#{}和${}的区别是什么? ${}是字符串替换 #{}是预处理:使用#{}可以有效的防止SQL注入,提高系统安性。 Mybatis在处理${}时,就是把${}直接替换成变量的值。 而Mybatis在处理#{}时,会对sql语句进行预处理,将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值; PreparedStatement:可以防止sql注入(预处理对非法输入的 ' 进行\转义)。 Statement:不能防止sql注入。 二、Mybatis模糊查
批量删除模糊查询
12-29
java代码,servlet技术,描写批量删除以及模糊查询,在myeclipes上编写
mybatis批量模糊查询、多选模糊查询
qq_42030055的博客
08-16 6443
SQL语句 先要知道如何进行模糊查询,在原有的基础上进行修改,一般都在mysql上写好SQL语句,再换至mybatis里拼写 模糊查询如下: SELECT * FROM `order` WHERE `id` LIKE CONCAT('%','Check','%'); 表:order 字段:id CONCAT作用:将多个字符串连接成一个字符串 Check:你要匹配的数据 下面在原有基础上加上支持批...
Mybatis小技巧之批量删除、模糊查询
qq_42338744的博客
10-26 672
mybatis 模糊查询 批量删除
Mybatis批量查询和模糊查询
石头视角
02-22 1546
select id as Id, from user where score >= 0 and pname like CONCAT(CONCAT('%', #{name}), '%') and channel_id in <foreach collection="list" index="index" open="(" close=")" se
mybatis的批量模糊查询 修改 添加
weixin_42080277的博客
11-15 819
最近boot2整合mybatis  一些批量添加修改查询  特此记录下 直接上代码   dao: List&lt;SysMenu&gt; listMenuByMenuNo(@Param("list") List&lt;String&gt; menuNos); 批量查询: &lt;select id="listMenuByMenuNo" parameterType="java.ut...
mybatis 模糊查询的实现方法
12-16
MyBatis中,模糊查询是一种常见的查询方式,特别是在数据搜索功能中不可或缺。本文将详细介绍如何在MyBatis中实现模糊查询,以及`#`和`$`的区别。 首先,让我们来理解`#`和`$`的区别。这两个符号在MyBatis中用于...
Mybatis模糊查询和动态sql语句的用法
08-26
Mybatis模糊查询和动态sql语句的用法 Mybatis是当前最流行的Java持久层框架之一,它提供了强大的数据库交互功能,包括模糊查询和动态sql语句的支持。本文将详细介绍Mybatis模糊查询和动态sql语句的用法。 一、模糊...
MyBatis模糊查询
10-20
### MyBatis模糊查询知识点详解 #### 一、MyBatis简介 MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以通过...
Mybatis -- 模糊查询
星期八领证的博客
04-13 4367
文章目录Mybatis -- 模糊查询1、搭建环境1.1、搭建数据库环境1.2、搭建项目环境1.2.1、新建一个Maven工程1.2.2、导入依赖1.2.3、创建项目目录2、编写代码2.1、编写核心配置文件2.2、编写工具类2.3、编写实体类2.4、编写Mapper接口2.5、编写Mapper.xml 文件3、测试3.1、防止资源导出失败3.2、搭建测试环境 Mybatis – 模糊查询 1、搭建...
mybatis学习--特殊SQL的执行
weixin_43700340的博客
04-11 626
1.模糊查询 /** * 根据用户名进行模糊查询 * @param username * @return java.util.List<com.atguigu.mybatis.pojo.User> * @date 2022/2/26 21:56 */ List<User> getUserByLike(@Param("username") String username); <!--List<User> getUserByLike(@Param("use
利用mybatis的动态sql 进行批量模糊查询
du771278794的博客
01-26 7557
原生的sql语句 可以使用or加like语句进行批量的模糊查询 当与and一起使用的时候必须使用括号把or语句括起来  编码发生冲突 select * from order_flow of,order_info oi,order_handle_result oh  where of.RPAOrderId = oi.RPAOrderId  and of.resultId = oh.resu
Mybatis 批量插入、模糊查询
weixin_34114823的博客
05-05 113
2019独角兽企业重金招聘Python工程师标准>>> ...
MyBatis--------模糊查询
大宇的博客,欢迎访问
03-30 3294
在Mybaits中,可有3种模糊查询的方式 一、使用${ } 如果SQL语句是 LIKE '%#{tag1}%' ,会被编译为:'%?%' 。 这样的话就被当成是一个字符串了。 的确在项目里面报这个错,我就是从这个坑里爬出来的。 应该把#修改为$ ,就像下面这样。 &lt;select id="getSimilarTag" resu...
mybatis实现多条件模糊查询
qq_45947664的博客
03-08 1898
【代码】mybatis实现多条件模糊查询。
Java --- mybatis处理模糊查询的三种方式
qq_46093575的博客
06-01 4172
2、方式二 3、方式三(推荐使用)
Mybatis mysql 一个搜索框多个字段模糊查询 多字段查询
热门推荐
test
09-28 1万+
根据搜索框给定的关键词,模糊搜索用户名和账号都匹配的用户集合 <select id="list" parameterType="com.user.UserInfo" resultType="com.user.UserInfo"> SELECT * FROM user WHERE ...
mybatis模糊查询
qq_35341771的博客
07-16 344
1、直接使用%,比较简便,可能会导致SQL注入。 LIKE "%"#{address,jdbcType=VARCHAR}"%" 2、可以有效防止SQL注入问题。 LIKE concat('%', #{address,jdbcType=VARCHAR}, '%')
mybatis 模糊查询
最新发布
10-02
MyBatis 实现模糊查询大概有如下几种方式: 1. **使用 `$` 占位符**:这种方式需要在调用处手动添加“%”通配符,不过通过 `$` 拼接的 SQL 语句是以拼接字符串的方式生成的,会引发 SQL 注入问题。例如在测试类中调用 `selectList()` 方法传参时需要调用者手动添加 `%` 号通配符,若在配置文件中使用 `$` 拼接,要留意单引号问题[^4]。 2. **使用数据库函数 `concat`**:可以借助 MySQL 的函数来实现模糊查询,既能够解决 SQL 注入问题,又能在配置文件中写 `%`[^4]。 3. **使用 MyBatis 的动态 SQL 标签 `<bind>`**:可将匹配符放在 mapper 文件中,只把需要匹配的关键字暴露出来自定义,这种方式更具灵活性[^1]。 4. **在 Java 代码中手动添加 `%`**:这种方式是在 Java 代码里给出模糊查询的完整内容,例如在测试方法中定义 `String name = "%张%"`,然后将其作为参数传入查询方法中[^3][^4]。 以下是使用 `$` 占位符和数据库函数 `concat` 的代码示例: #### 使用 `$` 占位符 Mapper 接口: ```java import java.util.List; public interface StudentDao { List<Student> selectLikeOne(String name); } ``` Mapper XML 文件: ```xml <mapper namespace="com.example.dao.StudentDao"> <select id="selectLikeOne" resultType="com.example.entity.Student"> SELECT * FROM student WHERE name LIKE '${value}' </select> </mapper> ``` 测试类: ```java import org.apache.ibatis.session.SqlSession; import java.util.List; public class Test { public static void main(String[] args) { SqlSession session = MyBatisUtil.getSqlSession(); StudentDao dao = session.getMapper(StudentDao.class); String name = "%张%"; List<Student> students = dao.selectLikeOne(name); session.close(); students.forEach(student -> System.out.println(student)); } } ``` #### 使用数据库函数 `concat` Mapper XML 文件: ```xml <mapper namespace="com.example.dao.StudentDao"> <select id="selectLikeTwo" resultType="com.example.entity.Student"> SELECT * FROM student WHERE name LIKE concat('%', #{name}, '%') </select> </mapper> ``` 测试类: ```java import org.apache.ibatis.session.SqlSession; import java.util.List; public class Test { public static void main(String[] args) { SqlSession session = MyBatisUtil.getSqlSession(); StudentDao dao = session.getMapper(StudentDao.class); String name = "张"; List<Student> students = dao.selectLikeTwo(name); session.close(); students.forEach(student -> System.out.println(student)); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值