mybatis字符串转义问题解决

最新推荐文章于 2025-04-23 13:47:56 发布
最新推荐文章于 2025-04-23 13:47:56 发布
阅读量1.9k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42452933/article/details/104036916
版权
本文介绍了在MyBatis中遇到的字符串转义问题及其原因。当参数包含特殊字符如'.'或'?'时,使用#{...}可能导致未预期的排序结果。原因是MyBatis对String参数进行了转义。解决方案是改用${...},但这样会带来SQL注入的风险。因此,应当谨慎处理用户输入,避免SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybatis字符串转义问题解决

问题描述

提前剧透:
如果参数中有. ?等特殊参数,需要使用${},但需要注意sql注入问题

@Select("select * from account order by #{orderBy} #{orderRule} limit #{start},#{offset}")
public List<Account> getAccountList(@Param("orderBy") String orderBy, @Param("orderRule") String orderRule,
    @Param("start) int start, @Param("offset") int offset);

如上代码所示,在执行查询操作时,为了能够与前端联动进行排序,直接在SQL参数中传递排序字段和排序规则。
但是,在调试时偶然发现,当传递的“orderBy”值为不存在的字段时,竟然不会报错!!!
经过进一步调试发现,实际上并不会按照预期的排序规则返回数据列表!!!

原因分析

设置log4j的日志级别为DEBUG后发现,最终执行的SQL语句是一个预编译操作,mybatis输出日志如下:

==> Preparing: select * from account order by ? ? limit ?, ?
==> Parameters: loginName(String), DESC(String), 0(Integer

最低0.47元/天 解锁文章
MyBatis字符串问题解析与应对策略
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-02 889
MyBatis允许我们自定义类型处理器,以处理特定的字符串类型。@Override@Override// 其他重载方法省略。
MyBatis字符串问题:深入解析与实战技巧
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-05 1103
MyBatis是一个优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。MyBatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集,可以使用简单的XML或注解进行配置和原始映射,将接口和Java的POJOs(Plain Old Java Objects,普通的Java对象)映射成数据库中的记录。在MyBatis中处理字符串问题时,核心在于理解框架的动态SQL机制,并结合具体业务需求灵活运用。上述示例和技巧不仅能够帮助你构建出高效、安全的SQL语句,还能提升代码的可读性和维护性。
Mybatis】关于mybatis使用#{}符号传入字符串转义问题
qq_39182029的博客
01-15 1146
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Mybatis特殊字符转义查询问题
靖节先生的博客
04-22 3183
Mybatis特殊字符转义查询问题1. 问题描述2. 解决方案3. 设计实现3.1 环境准备3.2 代码实现3.3 拦截器实现4. 测试验证 1. 问题描述 MyBatis作为目前最常用的ORM数据库访问持久层框架,其本身支持动态SQL存储映射等高级特性也非常优秀,通过Mapper文件采用动态代理模式使SQL与业务代码相解耦,日常开发中使用也非常广泛。 正常模糊匹配查询时是没有什么问题的,但是如果需要模糊查询字段含有特殊字符比如% _ / 等时就会出现查询不准确的问题。本文就是通过mybatis拦截器实现特
004-Mybatis-Flex
最新发布
xiaogang1226的博客
04-23 918
Mybatis-Flex
mybatis常用转义字符
Mr.Xie的博客
08-02 5959
1: 原符号         &lt;      &lt;=        &gt;        &gt;=         &amp;             '           " 替换符号    &amp;lt;    &amp;lt;=   &amp;gt;    &amp;gt;=   &amp;amp;   &amp;apos;  &amp;quot; 例: create_da...
mybatis的xml中<=号被转义
suvue
12-18 772
解决方案: <![CDATA[<=]]> 解析: 术语 CDATA 指的是不应由 XML 解析器进行解析的文本数据(Unparsed Character Data)。 在 XML 元素中,"<" 和 “&” 是非法的。 “<” 会产生错误,因为解析器会把该字符解释为新元素的开始。 “&” 也会产生错误,因为解析器会把该字符解释为字符实体的开始。 某些...
mybatis转义
青色橙子
12-25 5235
第一种方法: 用转义字符把">"和" if test="startTime != null "> AND order_date >= #{startTime,jdbcType=DATE} if> if test="endTime != null "> AND order_date <= #{endTime,jdbcType=DATE} if> 注意
mybatis-plus自定义插件解决模糊查询特殊字符转义问题
yiqiu1959的博客
11-24 3559
背景:MySQL模糊查询时,如果前端传了特殊字符而后端没有对特殊字符转义的话,特殊字符就会被识别为SQL中的特殊字符,发挥其特殊字符的含义,如占位符’_‘、’%‘等,如需MySQL将这些字符识别为普通字符,则需要在其前面加上转义符,默认是反斜杠,即变为’_‘、’%'即可。但是每个查询的地方都加转义,又麻烦又容易遗漏,所以借鉴类似AOP的思想,加一层拦截来解决,如果你的orm框架使用的mybatis-plus,则可以通过实现一个自定义插件解决mybatis也有类似插件规范。直接无脑上代码 复制粘贴就行。
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%...
MyBatis3.X实战之删除语法和转义字符使用
weixin_43432438的博客
04-17 347
MyBatis3.X实战之删除语法和转义字符使用
Mybatis映射文件特殊符号处理
Blue__whale的博客
08-24 264
<>>&&''""
mybatis 中的![CDATA[ ]]用法(优快云标题无法打尖括号)
scropio0zry的博客
03-21 3299
在使用mybatis 时我们sql是写在xml 映射文件中,如果写的sql中有一些特殊的字符的话,在解析xml文件的时候会被转义,但我们不希望他被转义,所以我们要使用<![CDATA[ ]]>来解决。 <![CDATA[ ]]> 是什么,这是XML语法。在CDATA内部的所有内容都会被解析器忽略。 如果文本包含了很多的"<"字符 <=和"&"字符...
MyBatis如何解决内容被转义
阿甘兄
10-28 1625
使用<![CDATA[ ]]>来解决,使用例子如下: <![CDATA[AND DATE_FORMAT(e.create_time, '%Y-%m-%d')>= DATE_FORMAT(#{p.startTime,jdbcType=VARCHAR}, '%Y-%m-%d')]]> 注意:<![CDATA[ ]]>是XML语法,在CDATA内部的所有内容都会被解析器忽略。 ...
mybatis 字符串问题
hongtea1234的专栏
01-05 6227
and t.calc_time = #{rateModel.calcTime}       and t.calc_time = #{rateModel.yesterday}     今天遇到一个问题,就是sql进不了when标签里面,我纠结了半天,最后才发现原因: 双引号和单引号是互用的 但是字符串判断那里要用双引号,改成下面这样就好了       a
记录一个mybatis特殊符号未转义带来的错
xj8931_xj的专栏
06-08 347
<update id="updateAccounts"> update t_account set mone= mone- #{mone} where id = #{id} and mone>=#{money} </update>
mybatis转义反斜杠_MyBatis Plus之like模糊查询中包含有特殊字符(_、\、%)
weixin_39634898的博客
12-22 2454
解决思路:自定义一个拦截器,当有模糊查询时,模糊查询的关键字中包含有上述特殊字符时,在该特殊字符前添加\进行转义处理。一、问题提出使用MyBatis中的模糊查询时,当查询关键字中包括有_、\、%时,查询关键字失效。二、问题分析1、当like中包含_时,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段中包含有_特殊字符的结果条目2、like中包括%时...
MyBatis特殊字符转义
u010177899的博客
03-29 2140
使用mybatis的时候,特殊字符,例如, 需使用以下进行转义 < 小于号   > > 大于号 & &   与 &apos; ' 单引号 " " 双引号   select id="selectByExampleExt" parameterType="com.cn2
Mybatis篇_转义
热门推荐
Binghenpo的博客
09-16 1万+
Mybatis对xml文件写SQL时,有些符号是需要转义的,强制性的。有些是可以转义,但是不强制。 * 只要存在小于"<"是必须要转义的(原因:Mybatis的XML的标签与小于"<"大于">"极其相似,为了区别开来,需要转义,让框架去处理sql)* *在实际开发过程中,"<"是必须要转的,如,&lt;(带分号,作为一个整体,写好后会有颜色变化)* “>“不需要转,不转不会错,本着多一事不如少一事的原则,我表示没转过”>”(转的话是&g...
mybatis特殊字符转义
09-12
这样可以确保特殊字符不被转义,而是直接作为字符串进行处理。 在Mybatis的映射文件中,如果需要写特殊字符,可以使用`<![CDATA[ ]]>`来解决。这是XML语法,CDATA内部的所有内容都会被解析器忽略,所以特殊字符不会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值