MyBatis-模糊查询 LIKE

最新推荐文章于 2025-04-04 21:50:18 发布

爪哇幼稚猿

最新推荐文章于 2025-04-04 21:50:18 发布

阅读量1.8k

点赞数

分类专栏： mybatis 文章标签： sql java

本文链接：https://blog.youkuaiyun.com/xuedengyong/article/details/120289198

版权

mybatis 专栏收录该内容

8 篇文章

订阅专栏

本文讨论了在Java中进行SQL查询时的安全问题，重点比较了字符串直接拼接与使用CONCAT及bind标签的方法。直接使用%%拼接字符串进行LIKE操作存在SQL注入风险，推荐使用MyBatis的CONCAT函数或bind标签来提高安全性，如示例所示，这些方法可以更好地防止SQL注入并提升代码的可读性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、字符串拼接

在 Java 代码中拼接%%（比如 name = "%" + name + "%" ; ），直接 LIKE。因为没

有预编译，存在 SQL 注入的风险，不推荐使用。

2、CONCAT（推荐）

<if test="descr !=null">
  AND  DESCR LIKE CONCAT(CONCAT('%',#{descr,jdbcType=VARCHAR}),'%')
</if>

3、bind 标签

<select id="getEmpList_bind" resultType="empResultMap" parameterType="Employee">
    <bind name="pattern1" value="'%' + empName + '%'" />
    <bind name="pattern2" value="'%' + email + '%'" />
 SELECT * FROM tbl_emp 
    <where>
        <if test="empId != null"> emp_id = #{empId,jdbcType=INTEGER}, </if>
        <if test="empName != null and empName != ''"> AND emp_name LIKE #{pattern1} </if>
        <if test="email != null and email != ''"> AND email LIKE #{pattern2} </if>
    </where> ORDER BY emp_id 
</select>