iBATIS 的sqlmap的like查询的三种方案

最新推荐文章于 2021-12-17 20:58:40 发布
最新推荐文章于 2021-12-17 20:58:40 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: Ibatis-SqlMaps 文章标签: ibatis hashmap table sql 数据库 encoding
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xusongsong520/article/details/7980761
版权

ibatis sqlMap.xml 文件 like 查询的三种方案

 dtd 的修改在这里有说明 http://wuxiubing.iteye.com/blog/1010635

 原: dtd 位置 "http://ibatis.apache.org/dtd/sql-map-2.dtd">

 

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE sqlMap     
    PUBLIC "-//ibatis.apache.org//DTD SQL Map 2.0//EN"     
    "./sql-map-2.dtd">

<sqlMap namespace="Account">
 <select id="getAllStudentLike1" resultClass="hashmap" parameterClass="String">
  select * from student where name like #name#
  <!-- sqlMapClient.queryForList("getAllStudentLike1" , "%张") ; -->
 </select>
 <select id="getAllStudentLike2" resultClass="hashmap" parameterClass="String">
  select * from student where name like '%$name$%'
  <!-- sqlMapClient.queryForList("getAllStudentLike2" , "张") ; -->
 </select>
 <select id="getAllStudentLike3" resultClass="hashmap" parameterClass="String">
  select * from student where name like '%'||#name#||'%'
  <!-- sqlMapClient.queryForList("getAllStudentLike3" , "张") ; -->
 </select>
</sqlMap>

****************************************

在通常情况下iBATIS的参数在sqlmap中使用#param#的形式,参数名以’#’包着,但当使用sql的LIKE语句时就发生了问题,在单引号中无法使用#param#这种形式

当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时如果要把'value'以参数代替,可以把整个LIKE后面的字符串全改为参数,即 SELECT * FROM TABLE WHERE COL LIKE #param#,此时参数param的值为字符串"value%"。

但有时上面这种情况会使程序变复杂,所以用参数只代替’value’时就要碰到在单引号内使用参数的问题。这时是使用’$’将参数名包起来,即SELECT * FROM TABLE WHERE COL LIKE ’$param$%’,此时参数param的值就是字符串"value"。

在网上看到另一种方法,就是SELECT * FROM TABLE WHERE COL LIKE #param#||’%’。这个方法我试过了,同样有效,此时参数param的值同样是字符串"value"。

在通常情况下iBATIS的参数在sqlmap中使用#param#的形式,参数名以’#’包着,但当使用sql的LIKE语句时就发生了问题,在单引号中无法使用#param#这种形式

当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时如果要把’value’以参数代替,可以把整个LIKE后面的字符串全改为参数,即 SELECT * FROM TABLE WHERE COL LIKE #param#,此时参数param的值为字符串"value%"。

但有时上面这种情况会使程序变复杂,所以用参数只代替’value’时就要碰到在单引号内使用参数的问题。这时是使用’$’将参数名包起来,即SELECT * FROM TABLE WHERE COL LIKE ’$param$%’,此时参数param的值就是字符串"value"。

在网上看到另一种方法,就是SELECT * FROM TABLE WHERE COL LIKE #param#||’%’。这个方法我试过了,同样有效,此时参数param的值同样是字符串"value"。

******************************************************************

ibatis配置文件中两个$中间夹字符串什么意思

{key:'aaa',value:'123'} 也就是说输出一个key为aaa的参数,可以是成员aaa(属性),也可以是Hashtable 里边的一项

$aaa$ 输出参数是以字符串方式直接输出 123

#aaa# 输出参数是以Parameter方式输出 @aaa

在通常情况下ibatis的参数在sqlmap中使用#param#的形式,参数名以’#‘包着,但当使用sql的like语句时就发生了问题,在单引号中无法使用#param#这种形式。解决办法有: 1.当应用select * from table1 where col like ’%value%’时,如果要把‘value’以参数代替,可以把整个like后面的字符串全改为参数。即:select * from table1 where col like #param# ,此时参数param的值为字符串'%value%' 2.使用‘$’将参数名包起来。例如:name like ‘%#name#%’。我们的解决方法有2。(a)把name like ‘%#name#%’的#换成$,即:name like ‘%$name$%’。(b)用||连接字符串的方式,写成,name like ‘%’|| #name#‘%’。在iBatis中,对于in子句的标准做法是采用动态sql来解决的。具体方法大致是:Java代码传入一个List或者数组,然后在sqlMapConfig映射中使用iterate循环取这个变量,动态地生成sql语句。这个标准解法的缺点是,使用起来比较麻烦1. 需要在sqlMapConfig中使用动态语句2. 需要传入一个Iterable的变量对于这个问题,我使用了一个偷懒的办法,就是使用$标记。在iBatis中,普通的变量,比如:v,是使用#号,在这个例子中,就是:#v#。这样,iBatis会使用prepareStatement,并对变量进行变量绑定。而$符号是简单替代的用法,在数据库的执行效率上要比前一种差。但优点就是简单方便。比如:SELECT * FROM emp WHERE emp_no in ($empString$);而empString的值就是1, 2, 3. 在Log中,可以看到,Sql语句就是:SELECT * FROM emp WHERE emp_no in (1,2,3)

 

1.#是把传入的数据当作字符串,如#field#传入的是id,则sql语句生成是这样,order by "id",这当然会报错..
2.$传入的数据直接生成在sql里,如#field#传入的是id,则sql语句生成是这样,order by id, 这就对了. 
 $方式一般用于传入数据库对象.例如传入表名.
#方式一般用于传入插入/更新的值或查询/删除的where条件

 


ibatis-sqlmap-2.3.0中sqlmap支持通配符
08-24
总的来说,Ibatis SqlMap 2.3.0对通配符的支持,极大地提升了SQL语句的灵活性,让开发者能够根据业务需求编写出更加复杂的查询条件。然而,同时也需要关注性能和安全方面的问题,确保代码的稳定性和可靠性。通过熟练...
sqlserver Ibatis XML自动生成工具
11-19
工具会根据这些表的结构,自动生成对应的Ibatis SQLMap XML文件,包括增删改查等基本操作。XML文件中的每个元素都将对应数据库表的字段,使你可以直接在代码中调用这些预定义的SQL语句。 XML映射文件的生成包括以下...
ibatis sqlMap.xml 文件 like 查询三种方案
wuxiubing的专栏
04-21 173
ibatis sqlMap.xml 文件 like 查询三种方案  dtd 的修改在这里有说明 http://wuxiubing.iteye.com/blog/1010635  原: dtd 位置 "http://ibatis.apache.org/dtd/sql-map-2.dtd"&gt;   &lt;?xml version="1.0" encoding="UTF-8" ?&gt;...
sqlmaplike语句的使用
ciweiju8049的博客
03-07 570
将:= #columnName#替换为like '%$columnName$%'即可,例如:= #FileId#替换为like '%$FileId$%'[@more@] ...
SQLMAP
Unitue_逆流
03-14 360
SQL分类:   按照数据类型分:       整型注入、字符型注入   按照注入语法分类:      UNION query SQL injection(可联合查询注入)      Error-based SQL injection(报错性注入)      Boolean-based blind SQL injection(布尔型注入)     Time-based blind S
记一次使用sqlmap对oracle进行like注入
weixin_45439432的博客
12-17 4092
环境:jsp+oracle 从FUZZ的结果以及http响应的长度来看,普通的注入被waf拦截,存在like注入 like注入其实也并不是两边都要有 %,我们只需要闭合单引号就行了: 接下来用sysdata参数可以确定数据库为oracle。 sysdata函数为oracle数据库的日期,length求的是字符长度,可构造语句: 1’ AND LENGTH(SYSDATE) LIKE LENGTH(SYSDATE) AND ‘NGjD’ LIKE 'NGjD 现在可以确定存在注入了,于是移步到工具使用环
API ibatis2
04-13
iBATIS 2的核心概念包括SqlMapConfig.xml配置文件、SqlMap接口和动态SQLSqlMapConfig.xml文件是整个iBATIS框架的入口点,包含了数据源、事务管理器以及SqlMap的定义。SqlMap接口则是与数据库交互的具体操作,它由...
iBatis文档\ibatis.doc
12-08
iBatis支持两种事务管理机制:基于JDBC的事务管理和基于JTA(Java Transaction API)的事务管理。 - **基于JDBC的事务管理**:直接在Java代码中控制事务的开始、提交和回滚。例如: ```java Connection conn = ...
ibatis高级特性
11-01
- **优化方案**: 可以通过批处理查询或者使用缓存机制来优化。 ##### 2. 一对一关联 一对一关联是指两个实体对象之间存在一对一的关联关系。例如,在用户(User)和详细信息(UserDetail)之间的关系中,一个用户只对应...
mysql ibatis xml配置 like_iBatis学习方法及入门总结
weixin_39616880的博客
01-27 404
一、 介绍:相对于Hibernate和Apache OJB等“一站式”ORM解决方案而言,IBatis是一种“半自动化”的ORM实现。这个框架将让你能够更好的在JAVA应用中设计和实现实体层。这个框架有两个主要的组成部分,一个是SQL Maps,另一个是Data Access Objects。另外还包括一些可能很有用的工具。SQL Maps:Sql Maps是这个框架中最激动人心的部分,它是整个i...
ibatis中模糊查询和传数组
learnmore的实验田
03-27 213
1.模糊查询: od.orderid like '%$ordernum$%' 2.传数组时,先把值拼成以','号分隔的的字符串,传入xml文件中,然后在xml中 ...
iBATIS教程之like语句的写法浅析
kim的专栏
02-08 1456
iBATIS教程之like语句的写法到底是怎么样子的呢?网上有很多的例子,那么本文将会介绍一些在实际中用到的iBATISlike语句的写法的一点体会。 iBATIS教程之like语句的使用我们可以先看看网上搜了一下iBATIS的关于like的使用 select * from USERS where USER_NAME like '%wang%';  这种like语句在iBATIS中怎么
map在Sql中的传参 模糊查询limit分页
arale1109的博客
01-12 397
mapper.xml页面sql传入map,需要用${},不能用#{} <select id="findAllByCountName" parameterType="java.util.Map" resultType="bean.ChuHuoDan" >     <!-- SELECT * FROM chuhuodan WHERE siji...
Ibatis自动解决sql注入机制
amqi6260的博客
11-23 218
疑问1:为什么IBatis解决了大部分的sql注入?(实际上还有部分sql语句需要关心sql注入,比如like)   之前写Java web,一直使用IBatis,从来没有考虑过sql注入;最近写php(新手),突然遇到一大堆sql注入问题,如sql语句: SELECT * FROM message WHERE message_id =$id; id通常允许输入数字或字符,如...
ibatislike关键字用法小结
ness1981的博客
05-31 239
        前天,有朋友问我,select * from T_STUDENT where S_NAME like '张%';这种like语句在ibatis中怎么写,他们现在的项目是用ibatis作为持久层的框架。         我的第一反应是这样写: &lt;select id="showOneStudentByName" parameterClass="String" resultMa...
sqlMap.xml配置文件中迭代一个集合的方式
weixin_30265171的博客
08-28 169
比如:根据班级号查询学生的信息,参数是list 1、foreach的用法:【写法一】 <select id="getStudentListByClassId" resultMap="StudentResultList">   select * form Student stu where stu.ClassId in   <foreach collection="list...
ibatis配置中like的写法
hellohubin的专栏
05-17 738
ibatis配置中like的写法 (2012-01-29 15:57:37) 转载▼ 标签: ibatislike 分类: java &lt;!-- 正文开始 --&gt; iBATIS教程之like语句的使用我们可以先看看网上搜了一下iBATIS的关于like的使用select * from USERS where USER_NAME like...
ibatis like 用法
siashuayongsheng的专栏
08-14 175
[code="java"] mysql: select * from tbl_school where school_name like concat('%',#name#,'%') oracle: select * from tbl_school where school_name like '%'||#name#||'%' sql server:se...
全面掌握iBatis:入门教程与代码实例
但是,对于想要了解历史以及两者之间的差异,本文将介绍ibatis的基本概念和操作,包括增删改查、多条件查询、单对象查询和数据集合查询等入门级别代码。 ### ibatis的基本概念 ibatis的核心是SQL Map,它是一个XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值