ibatis中的like用法

sweat89 2012-12-01 12:38:51
比如:
select * from emp where title like '%$title$%'
能查出结果,但是你懂得,有sql injection。

换这种:
select * from emp where title like '%' || #title# || '%'

日志打印出来的SQL是:
select * from emp where title like '%' || ? || '%'

在线等。。。
...全文
148 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
sweat89 2012-12-01
  • 打赏
  • 举报
 回复
引用 3 楼 Whu_benluobo 的回复:
select * from emp where title like '%$title$%' 能查出结果,但是你懂得,有sql injection。 ibatis不会有SQL注入 楼主写的就是对的 就这么用没问题的
好像会有注入的哦。。
sweat89 2012-12-01
  • 打赏
  • 举报
 回复
呵呵,找到原因了。 我用的是mysql,而mysql的字符串连接操作是用concat而非 ||
Whu_benluobo 2012-12-01
  • 打赏
  • 举报
 回复
select * from emp where title like '%$title$%' 能查出结果,但是你懂得,有sql injection。 ibatis不会有SQL注入 楼主写的就是对的 就这么用没问题的
sweat89 2012-12-01
  • 打赏
  • 举报
 回复
引用 1 楼 xingfuzhuzi1314 的回复:
我就是用的select * from emp where title like '%' || #title# || '%' ,LZ你不能查询出结果吗? sqlid的参数类型,一般都是Map,或者StringJava code??123456789101112131415<select id="getAddressPoolConfigCount" resultClas……
我的参数不是MAP,是parameterClass,按理说它会调用VO的getTitle方法取值吧。跟参数无关吧
xingfuzhuzi1314 2012-12-01
  • 打赏
  • 举报
 回复
我就是用的select * from emp where title like '%' || #title# || '%' ,LZ你不能查询出结果吗? sqlid的参数类型,一般都是Map,或者String
<select id="getAddressPoolConfigCount" resultClass="Integer"
		parameterClass="Map">
		select count(*) from TMS_ADDRESS_POOL_CONFIG tapc, SYS_CITY
		sc,SYS_PROVINCE sp where tapc.PROVINCE_ID = sp.PROVINCE_ID and
		tapc.CITY_ID = sc.CITY_ID
		<isNotEmpty prepend="AND" property="provinceId">
			tapc.PROVINCE_ID like '%' || #provinceId#|| '%'
		</isNotEmpty>
		<isNotEmpty prepend="AND" property="cityId">
			tapc.CITY_ID like '%' || #cityId#|| '%'
		</isNotEmpty>
		<isNotEmpty prepend="AND" property="configFlag">
			tapc.CONFIG_FLAG like '%' || #configFlag#|| '%'
		</isNotEmpty>
	</select>
SpringSpringMVCMybatis框架
Spring SSM项目 https://edu.csdn.net/course/detail/37962 Spring框架是由于软件开发的复杂性而创建的。Spring使用的是基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅仅限于服务器端的开发。从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring受益。◆目的:解决企业应用开发的复杂性◆功能:使用基本的JavaBean代替EJB,并提供了更多的企业应用功能◆范围:任何Java应用Spring是一个轻量级控制反转(IoC)和面向切面(AOP)的容器框架。Spring MVC属于SpringFrameWork的后续产品,已经融合在Spring Web Flow里面。Spring 框架提供了构建 Web 应用程序的全功能 MVC 模块。使用 Spring 可插入的 MVC 架构,从而在使用Spring进行WEB开发时,可以选择使用Spring的Spring MVC框架或集成其他MVC开发框架,如Struts1(现在一般不用),Struts 2(一般老项目使用)等等。MyBatis 本是apache的一个开源项目iBatis, 2010年这个项目由apache software foundation 迁移到了google code,并且改名为MyBatis 。2013年11月迁移到Github。iBATIS一词来源于“internet”和“abatis”的组合,是一个基于Java的持久层框架。iBATIS提供的持久层框架包括SQL Maps和Data Access Objects(DAOs)
关于ibatislike用法的补充
关于ibatislike用法的补充       网上搜了一下ibatis的关于like的使用,相信看到这篇文章的XDJM也应该知道如何解决了 ,我在这里就不重复了,只想补充说明一下:       撇开 '%$xxx$%' 不讲(有sql注入漏洞)。网上的解决方法如下:       SELECT *       FROM user       WHERE username li...
ibatis mysql like_关于ibatislike用法的补充
网上搜了一下ibatis的关于like的使用,相信看到这篇文章的XDJM也应该知道如何解决了 ,我在这里就不重复了,只想补充说明一下:撇开 '%$xxx$%' 不讲。网上的解决方法如下:Sql代码 SELECT*FROMuserWHEREusernamelike'%'||#username#||'%'SELECT *FROM userWHERE username like '%' || #u...
关于ibatislike用法的补充 收藏
网上搜了一下ibatis的关于like的使用, 撇开 '%$xxx$%' 不讲。网上的解决方法如下:       SELECT *       FROM user       WHERE username like '%'  || #username# || '%'        其实上面的语句是正对Oracle 的,对于不同数据字符串连接符不一样。现列举mysql和S...
ibatis like使用
正确使用方法:select * from a where name like '%' || #name# || '%'  || 为拼接字符串 iBatis 开发指南告诉我们,当 Person 对象的 name 属性不为 null 时启用 name 查询条件在映射文件 person.xml 的配置为 select id="getPersonsByName" resultCla
Java EE

67,513

社区成员

225,878

社区内容

发帖
与我相关
我的任务
社区描述
J2EE只是Java企业应用。我们需要一个跨J2SE/WEB/EJB的微容器,保护我们的业务核心组件(中间件),以延续它的生命力,而不是依赖J2SE/J2EE版本。
社区管理员
  • Java EE
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章