Mybatis in查询传入字符串参数最好的解决方法

最新推荐文章于 2025-09-02 10:33:23 发布

原创最新推荐文章于 2025-09-02 10:33:23 发布 · 2.1k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#mybatis

java 专栏收录该内容

97 篇文章

订阅专栏

探讨在MyBatis中使用IN语句时，如何安全地传递多个字符串参数，避免SQL注入风险。介绍了#{}

今天遇到一个问题，要在mybatis的语句中把string传入in，如果用#{} ，则会被解析成一个参数，比如：

#('aa,bb,cc')，网上有一个解决方法，使用“${}”解决，不过#{} 传入参数可以预防sql注入攻击，而“${}”不行，所以不推荐该方法。

我自己想了一个笨方法，如果能确定in的选项个数不多，10个以内，可以采用逐个添加，比如：

xxx xxx(...
            @Param("aa") String aa,
             @Param("bb") String bb,
             @Param("cc") String cc
             ...);

in (#{aa},#{bb},#{cc})

这样就万无一失了。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

J_小浩子

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

java mybatis动态sql 字符串逗号分隔转换成数组后 forEach进行拼接 mybatis多sql执行

shengguimin的博客

04-28

2418

传个字符串过来，mybatis一样可以以某个字符进行分隔，把它转换成一个数组，然后再进行foreach循环。-- mybatis 动态sql,将传入的字符串通过split拼接成in语句 -->,开启对多sql的支持-->

MyBatis动态sql_trim自定义字符串截取

bishe361的博客

01-03

376

【代码】MyBatis动态sql_trim自定义字符串截取。

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

　⃢�^�⃢ 2020.09.30
你直接传LIst<String>进来foreach啊

手写 Mybatis，“整整” Mybatis源码

豆汁

10-30

5913

前言前两天写了一个手写Spring ioc 框架，“撸撸”Spring 源码我们今天来整整Mybatis。 mybaits 在 ORM 框架中，可算是半壁江山了，由于它是轻量级，半自动加载，灵活性和易拓展性。深受广大公司的喜爱，所以我们程序开发也离不开 mybatis 。很多朋友对 mybatis 源码没什么了解，或者想看但是不知道怎么看的苦恼吗？归根结底，我们还是需要知道为什么会有 mybatis ,mybatis 解决了什么问题？想要知道 mybatis 解决了什么问题，就要知道传统的

Mybatis in查询传入字符串参数问题

最新发布

记录生活

09-02

737

本文介绍了SQL和MyBatis实现IN查询的方法。在SQL中直接使用IN关键字即可实现多值查询。MyBatis通过foreach标签支持IN查询，详细说明了collection、item、index等属性的用法。针对不同参数情况提供了多种实现方案：单参数时需区分List和Array类型；多参数时可通过@Param注解、Map传参或对象传参三种方式实现。文中给出了完整的代码示例，包括Java接口定义和XML映射文件配置，涵盖了各种常见场景下的IN查询实现方式。

MyBatis in查询传入字符串参数

科学鸿的博客

10-30

1万+

sql里的in操作符允许我们在where子句中规定多个值进行匹配。语法： SELECT column_name(s) FROM table_name WHERE column_name IN (value1,value2,...); 在mybatis里，可以通过传入数组或容器（array、list、set、map）通过foreach标签来给in操作符指定参数。问题：想要从org表中匹配字段org_id在OR001、OR002、OR004中的数据，org_id是字符串类型的字段。常规方法是在mappe

myabtis in语句传参为字符串

weixin_45732391的博客

07-22

1085

myabtis in语句传参为字符串 环境： jdk：8 mybatis-plus 开发工具：IDEA 很早开发的一个功能，其中一个参数是String类型，最近需要调用这个查询方法，但是传多个单号，想到用in，直接改写原来的sql： "<if test=\"param.endorseNo !=null and param.endorseNo!=''\">" + "and m.endorseNo in '${param.endorseNo}'" + " </if>" 这样穿的字符

Mybatis in 逗号分隔字符串

雄二说

12-07

4950

String ids = "1,2,3",如ids作为参数传递，mybatis用foreach 拼接 in 条件。

mybatis传入参数双重字符串

06-12

Mybatis中传入参数双重字符串可以使用转义符号进行处理。如果要传入的字符串本身包含单引号或双引号，可以在这些符号前添加反斜杠（\）进行转义，例如： ``` SELECT * FROM user WHERE name=#{name} AND address=...

详解mybatis中association和collection的column传入多个参数问题

08-25

本篇文章将详细探讨如何在 `association` 和 `collection` 的 `column` 属性中传入多个参数，以实现更复杂的查询需求。首先，`association` 用于表示一对一的关系，而 `collection` 用于表示一对多的关系。在映射...

postgresql + mybatis传入时间参数的问题.md

04-01

我们看到, 直接在可视化工具里用SQL写...甚至去掉 TIMESTAMP 都是可以的, pgSQL可以自动把字符串给你转换成日期格式, 然后作比较但是在mapper文件中这么写就不可以了, 它会提示你varchar类型不能和日期类型进行比较

Mybatis in 条件传参三种实现方法（直接$，List，[]）

s_156的博客

07-31

4926

如果直接传入拼接好的where in 条件，比如（‘111’,‘222’,‘333’)，则需要使用${idlist}传参，即绝对引用，而不能使用#如果项目大，其实可以同时重载三种都实现，我一般都会这样，实现三种DAO接口，service层相同方法名，根据不同的模块不同的需求调用不同的实现层。in条件直接传入List对象，让mybatis再去拼接生成in条件，这个很麻烦,但是可以防止SQL注入。in条件直接传入[]数组对象，让mybatis再去拼接生成in条件，这个很麻烦,但是可以防止SQL注入。

mybatis in 查询传入String

Pei_hua100的专栏

12-16

1743

这种写法需要关注字符串orgs的内容在拼入之后，整个sql是否是符合语法的，按上面的需求和sql写法，就要求作为sql一部分的orgs的值为"‘OR001’,‘OR002’,‘OR004’"。在这里传入的orgs字符串的值可以为"OR001,OR002,OR004"，在调用split函数时设置","分格，可以直接切分出三个字符串作为数组的元素。如果要作为in的匹配参数的多个值在一个String类型的对象orgs中，想直接通过String传入，有两种实现方式。

mybatis 关键字in值数组和字符串与java中将字符串转数组

h_DK888的博客

04-30

707

【代码】mybatis 关键字in值数组和字符串与java中将字符串转数组。

mybatis 条件查询 in 的用法及传参

qq_33286757的博客

04-12

598

【代码】mybatis 条件查询 in 的用法及传参。

mybatis IN 方法, 字符串集合参数处理方式 in(?,?,?) 及逗号分隔的字符串参数处理方法 and(a=? or a=? or a=?)

ws - 兮的博客空间

06-09

3052

mapper.xml 1、IN 方法, 字符串集合参数处理方式 in(’?’ ,’?’ ,’?’) 入参数 timeList —> List 集合 --> 参数为: 索引0= ‘2020-06-09’ 索引1= ‘2020-06-10’ where day_time in <foreach collection="timeList" item="item" index="index" open="(" close=")" separator=",">

MyBatis条件查询传参(学习笔记)

Yisermorn的博客

01-13

525

(学习笔记仅帮助自己理解记忆，部分内容可能存在理解错误，如有发现，还望指出) 主要为接口与sql映射文件之间各类型参数传递与在sql语句中获取的一系列操作; 当传递1个或多个参数时： //条件查询返回值类型方法名(数据类型形参名,...); 可使用注解org.apache.ibatis.annotations包下的Param //条件查询返回值类型方法名(@Param("别名") 数据类型形参名,...); 在sql映射文件中的获取： <select id="selByCdt" r.