ibatis mysql in_使用ibatis时 sql中 in 的参数赋值

解决Ibatis SQL注入与更新异常:参数转义与iterate标签应用
最新推荐文章于 2024-11-18 14:50:32 发布
原创 最新推荐文章于 2024-11-18 14:50:32 发布 · 285 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ibatis mysql in

本文讲述了在使用Ibatis执行SQL时遇到的DataIntegrityViolationException,重点介绍了如何通过避免直接使用美元符号传参以防止SQL注入,以及如何利用iterate属性处理IN操作中的参数问题。解决方法包括使用#符号替换$进行参数绑定和迭代器标签的应用实例。

一、问题描述:

1.在使用ibatis执行下面的sql:

update jc_jiesuan set doing_time = unix_timestamp(curdate()),doing_status = ?           where id in (?) and current_oprerate_type = ?

2.传入的参数是:

Parameters: [1, 444475305,444475300,444475297,444475299, 3]

Types: [java.lang.Integer, java.lang.String, java.lang.Integer]

3.报错信息为:

org.springframework.dao.DataIntegrityViolationException: SqlMapClient operation; SQL [];

--- The error occurred in com/chl/dao/ibatis/sqlMap/sc_jiesuan-sqlmap.xml.

--- The error occurred while applying a parameter map.

--- Check the updateJiesuanDoingStatus-InlineParameterMap.

--- Check the statement (update failed).

--- Cause: com.mysql.jdbc.MysqlDataTruncation: Data truncation: Truncated incorrect DOUBLE value: '444475305,444475300,444475297,444475299'; nested exception is com.ibatis.common.jdbc.exception.NestedSQLException:

二、解决方法:

1.使用“$”

通常在ibatis中传入参数使用的是“#”,如#currentOprerateType:INTEGER#

如果要想in中传入参数,则需要使用“$”符号。

update jc_jiesuan set doing_time = unix_timestamp(now()),doing_status = #doingStatus:INTEGER#

where id in($ids$)  and current_oprerate_type = #currentOprerateType:INTEGER#

但这种方式会增加系统被入侵的可能,因为'$'这个符号会将传进来的值直接组合成查询语句,这样很容易被Sql注入攻击。

2.使用iterate属性。

Iterate:这属性遍历整个集合,并为 List 集合中的元素重复元素体的内容。

Iterate 的属性:

prepend  - 可被覆盖的 SQL 语句组成部分,添加在语句的前面(可选)

property  - 类型为 java.util.List 的用于遍历的元素(必选)

open  -  整个遍历内容体开始的字符串,用于定义括号(可选)

close  -整个遍历内容体结束的字符串,用于定义括号(可选)

conjunction -  每次遍历内容之间的字符串,用于定义 AND 或 OR(可选)

示例一:

SELECT * FROM USERS WHERE USER_ID IN

#ids[]#

示例二、

delete from 表名 where  sex=#sex#

close=")" conjunction="or">

age=$personList[].age$

输出sql如下:

delete from 表名 where sex='man' and (age =11 or age=12)

宋超人
关注
Mybatis中利用动态SQL对数据库进行优化和安全检查
AI天才研究院
07-29 2560
MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。但是 MyBatis 也存在着不少性能和安全方面的问题。Mybatis 本身功能强大且易用,但同也可能给系统带来很多隐患和风险。为了更好地保障系统的安全性和运行效率,本篇文章将结合 Mybatis 的一些特性,通过动态 SQL 对数据库进行优化和安全检查的方法进行探讨。什么是动态 SQL
ibatis3.0中in的用法
04-29
ibatis3.0中in的用法ibatis3.0中in的用法ibatis3.0中in的用法ibatis3.0中in的用法
ibatis mysql in_ibatis in语句参数传入方法
weixin_35322457的博客
02-15 257
第一种:传入参数仅有数组select *from MailInfo with (nolock)where ID in#[]#调用string[] strValue = new string[] { "1", "2", "3" };Reader.QueryForList("WebApp_Ibatisnet.dao.GetEmailList_Test", strValue );第二种:传入参数有数组,...
ibatisin函数的使用
用程序感知生活
08-14 1263
最近遇到工作中需要用到ibatis中的in函数,如果是固定的数据,则 在sql中直接 in (1,2,3,4)直接使用即可,或者在Java代码中使用StringBuilder 或StringBuffer进行拼接即可 在ibatissql.xml 中 一种是通过占位符 $  的方式 String sheetid =“1,2,3,4,5”;如果是int类型,则需要用convert进行转换
ibatis处理in查询问题
阳光雨露
04-29 631
ibatis里面,由于使用的是preparedStatement,所以当遇到 in查询的候,直接一个输入参数的做法是不正确的。      比如 [code="xml"]        [/code] 使用ibatis处理in查询问题 [code="xml"]       [/code]      这样当传一个id的候当然不会有问题,但是如果是传多个id,并以“...
ibatisin语句参数传入方法
weixin_34203832的博客
03-07 530
第一种:传入参数仅有数组,iterate中不能有数组的属性名       <select id="GetEmailList_Test"  resultClass="EmailInfo_">             select *             from MailInfo with (nolock)             where ID in               ...
08_ibatis教程_sql主键生成方式.zip
05-03
在本教程"08_传智播客ibatis教程_sql主键生成方式"中,你将会深入学习到如何在Ibatis中配置和使用上述各种主键生成策略,通过实例和代码讲解,帮助你更好地理解和掌握Ibatis在处理SQL主键生成方面的技巧和最佳实践。...
ibatis批处理
06-27
在这种情况下,如果某些参数只有一份,而其他参数有多份,可以通过创建一个新的JavaBean类,将所有参数作为属性,然后在配置文件中使用`<iterate>`标签对多份参数进行循环。例如,如果要更新的字段`Opr`只有一个,但...
使用Mybatis向Mysql中的插入Point类型的数据全方位解析
最新发布
fengdeweilai的博客
11-18 2069
从基础开始,解决你使用mybatis 到 mysql数据库Point类的插入问题。
iBatis开发必备的三个核心JAR包详解
虽然这三个 JAR 包足以启动一个基本的 iBatis 应用,但在实际生产环境中,通常还需要配合数据库驱动包(如 mysql-connector-java)、连接池组件(如 DBCP 或 C3P0)以及日志实现(如 log4j)一起使用。此外,随着...
ibatis 使用 in 查询的几种XML写法
lip86的专栏
07-25 834
1.传入参数是数组 &lt;select id="Test" resultClass="dto"&gt; select * from UserInfo where userId in &lt;iterate open="(" close=")" conjunction="," &gt; #[]# &lt;/iterate&gt;
mysql 变量赋值 in_MySQL 存储过程传参数实现where id in(1,2,3,...)实例效果
weixin_28681379的博客
02-27 320
1.安装XtraBackup yum的安装方法: 自动 $ rpm -Uhv http://www.percona.com/downloads/percona-release/percona-release-0.0-1.x86_64.rpm 然后会看到: Retrieving http://www.percona.com/downloads/percona-release/percona-rele...
mybatis in条件查询(foreach)
yueguanyun的专栏
11-03 2399
mybatis查询sqlin条件使用(foreach) xml select alleyway_id,sum(order_amount) as order_amount from tb_order where pay_status in ( 2, 3) and DATE_FORMAT(resp_time, '%y-%m-%d') =
指针和引用的区别9/20
Atplse的博客
09-20 201
指针和引用的区别 1.指针:指针是一个变量,只不过这个变量存储的是一个地址,它拥有本身的地址。 int m=1; int*p=&m; 其中p就是一个指针变量,所以只能用地址来赋值。 (2)可以有const指针,但是没有const引用; (3)指针可以有多级,但是引用只能是一级(int **p;合法 而 int &&a是不合法的); (4)指针的值可以为空,但是引用的值不能为NULL,并且引用在定义的候必须初始化; (5)指针的值在初始化后可以改变,即指向其它的存储单元,而引用在进行
MyBatis实现In查询
qq_43985303的博客
04-11 5937
错误范例:如果在MyBatis中也使用类似SQL语法来实现In查询,像如下示例,肯定会报错,因为MyBatis不支持这样的写法。正确途径:MyBatis提供foreach语句实现In查询。
ibatis使用in查询
aaron9320的专栏
03-26 1792
一个SQLMAP里面有一个in,本来想写死,但是发现执行之后是乱码,后来想到in里面的值作为一个参数,先拼好一个字符串。in (#city_content#) paramMap.put("city_content", new String("台州市','杭州市','金华市','宁波市','温州市','丽水市','舟山市','衢州市','嘉兴市','湖州市','绍兴市")); 但是发现传递进去之
Mybatis使用IN语句查询
热门推荐
fendo
03-23 37万+
一、简介在SQL语法中如果我们想使用in的话直接可以像如下一样使用:select * from HealthCoupon where useType in ( '4' , '3' )但是如果在MyBatis中的使用in的话,像如下去做的话,肯定会报错: Map&lt;String, Object&gt; selectByUserId(@Param("useType") String useT...
IBATIS两种in查询
weixin_30268071的博客
12-25 116
转载于:https://www.cnblogs.com/yxwkf/p/5074860.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值