本文探讨了MyBatis中#与$的区别及其对SQL注入的影响,并提供了通过使用拦截器来解决模糊查询时可能遇到的问题的方法。
----------------------------其它知识点 start-----------------------------
1). mybatis中的#和$的区别 http://weijun726.blog.163.com/blog/static/87342299201362652950398/
2). mybatis防止sql注入
http://blog.sina.com.cn/s/blog_8e5354210101ezfm.html
http://my.oschina.net/ydsakyclguozi/blog/266863
----------------------------其它知识点 end-----------------------------
网上找的例子大部分说:
对于MySQL可以通过CONCAT('%',#{param}#,'%')进行模糊查询
但是引入了另一个问题:like查询时%或_仍然会直接加入生成的sql中,除非代码中进行转义:
参考:ibatis3(MyBatis)用like进行模糊匹配检索的写法 http://blog.sina.com.cn/s/blog_6a0cd5e501010b0m.html
出现另一个问题,那所有需要设置like字符串的地方都要加代码进行转义,工程量浩大。
于是可以考虑使用myBatis拦截器:
MyBatis拦截器动态修改SQL语句及参数值 http://blog.youkuaiyun.com/fencer911/article/details/39478877
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
