Mybatis中Like 的使用方式以及一些注意点 |
您所在的位置:网站首页 › sql语录like后面能跟变量嘛 › Mybatis中Like 的使用方式以及一些注意点 |
做一个积极的人 编码、改bug、提升自己 我有一个乐园,面向编程,春暖花开! 模糊查询在项目中还是经常使用的,本文就简单整理Mybatis中使用Like进行模糊查询的几种写法以及一些常见的问题。 使用Springboot简单配置一下Mybatis,然后进行说明。Springboot集成Mybatis这里就不做介绍了。 初始数据 方式一在Mybatis中的第一种写法: --有sql注入问题--> select * from t_user where name like '%${name}%'这种会有sql注入的问题,需要明白在 Mybatis中 $ 和 # 使用的区别。这种写法也不能加jdbcType=VARCHAR,否则也会报错。 做了个简单的测试: @Test public void findUserByLikeName1(){ List test = userMapper.findUserByLikeName1("Cloud"); //select * from t_user where name like '%Cloud%' System.out.println(test.size());// 查出一条 List test1 = userMapper.findUserByLikeName1("' or '1=1"); //select * from t_user where name like '%' or '1=1%' // 分析: '1=1%' 成立 System.out.println(test1.size());// 查出了全部数据 }注意:排序的字段也容易出现这个问题,在使用的时候也一定要注意。 order by ${orderBy} 第一种方式在实际开发过程中千万要注意,不要写成这样了。 方式二在Mybatis中的第二种写法: --直接在代码中拼接%, 不存在sql注入--> select * from t_user where name like #{name,jdbcType=VARCHAR}在代码中加上%。 @Test public void findUserByLikeName2(){ String name = "Cloud"; List test = userMapper.findUserByLikeName2("%" +name+"%"); // select * from t_user where name like ? // %Cloud%(String) System.out.println(test.size()); }这种方式在一些项目中也会看到。如果没有使用如Mybatis等ORM框架,直接写sql查询就这样拼接了。 方式三在Mybatis中的第三种写法: --concat Mysql和 Oracle区别 ,不存在sql注入--> select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%')测试: @Test public void findUserByLikeName3(){ String name = "Cloud"; List test = userMapper.findUserByLikeName3(name); // select * from t_user where name like concat('%',?,'%') // Cloud(String) System.out.println(test.size()); }在实际开发中推荐使用这种方式。 小注意当使用方式三的时候,如果查询的关键字就是% ,那情况会是什么? 初始化数据中name有9条数据中包含%。 查询的sql如下: select * from t_user where name like concat('%','%','%') 查出来全部的数据,并不是只包含了%的数据,如果查询_也是一样的。 那这种情况肯定是不满足查询需求的,则需要调整。 ①在代码中进行转义 @Test public void findUserByLikeName3(){ String name = "%"; name = name.replaceAll("_", "\\\\_"); name = name.replaceAll("%", "\\\\%"); List test = userMapper.findUserByLikeName3(name); System.out.println(test.size()); }②使用ESCAPE select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE '/'测试: @Test public void findUserByLikeName4(){ // replaceAll("%", "/%").replaceAll("_", "/_") String name = "%"; List test = userMapper.findUserByLikeName4(name); System.out.println(test.size());// 查到全部 List test1 = userMapper.findUserByLikeName4("/" +name); System.out.println(test1.size());//查到匹配%的记录 }这两种本质都是对查询的关键字进行了处理,这种处理在代码中可以使用拦截器或者AOP等技术统一处理。 小总结1、不要写方式1的这种模糊查询,容易发生sql注入! 建议使用第三种方式进行模糊查询 2、上面这三种模糊查询,都是使用%关键字%,这种方式是不会走索引的,大数据量时候有查询效率问题 看情况,可以使用全文索引;或者使用ES进行 说明:网上有一些优化like的查询的,但是亲测后没啥用 3、注意关键词中有%、_这些特殊字符如何处理。 1、业务上不允许输入这些字符,直接过滤(前台、后台过滤) 2、使用上面的ESCAPE或者转义 备注: 由于本人能力有限,文中若有错误之处,欢迎指正。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |