Mybatis中Like 的使用方式以及一些注意点
作一个积极的人java
编码、改bug、提高本身sql
我有一个乐园,面向编程,春暖花开!编程
模糊查询在项目中仍是常常使用的,本文就简单整理Mybatis中使用Like进行模糊查询的几种写法以及一些常见的问题。app
初始数据
方式一
在Mybatis中的第一种写法:框架
<!--有sql注入问题-->
<select id="findUserByLikeName1" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like '%${name}%'
</select>
复制代码
这种会有sql注入的问题,须要明白在 Mybatis中 $ 和 # 使用的区别。这种写法也不能加jdbcType=VARCHAR,不然也会报错。学习
作了个简单的测试:测试
@Test
public void findUserByLikeName1(){
List<User> test = userMapper.findUserByLikeName1("Cloud");
//select * from t_user where name like '%Cloud%'
System.out.println(test.size());// 查出一条
List<User> test1 = userMapper.findUserByLikeName1("' or '1=1");
//select * from t_user where name like '%' or '1=1%'
// 分析: '1=1%' 成立
System.out.println(test1.size());// 查出了所有数据
}
复制代码
注意:排序的字段也容易出现这个问题,在使用的时候也必定要注意。大数据
order by ${orderBy}优化
第一种方式在实际开发过程当中千万要注意,不要写成这样了。编码
方式二
在Mybatis中的第二种写法:
<!--直接在代码中拼接%, 不存在sql注入-->
<select id="findUserByLikeName2" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like #{name,jdbcType=VARCHAR}
</select>
复制代码
在代码中加上%。
@Test
public void findUserByLikeName2(){
String name = "Cloud";
List<User> test = userMapper.findUserByLikeName2("%" +name+"%");
// select * from t_user where name like ?
// %Cloud%(String)
System.out.println(test.size());
}
复制代码
这种方式在一些项目中也会看到。若是没有使用如Mybatis等ORM框架,直接写sql查询就这样拼接了。
方式三
在Mybatis中的第三种写法:
<!--concat Mysql和 Oracle区别 ,不存在sql注入-->
<select id="findUserByLikeName3" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%')
</select>
复制代码
测试:
@Test
public void findUserByLikeName3(){
String name = "Cloud";
List<User> test = userMapper.findUserByLikeName3(name);
// select * from t_user where name like concat('%',?,'%')
// Cloud(String)
System.out.println(test.size());
}
复制代码
在实际开发中推荐使用这种方式。
小注意
当使用方式三的时候,若是查询的关键字就是% ,那状况会是什么? 初始化数据中name有9条数据中包含%。
查询的sql以下:
select * from t_user where name like concat('%','%','%')
查出来所有的数据,并非只包含了%的数据,若是查询_也是同样的。
那这种状况确定是不知足查询需求的,则须要调整。
①在代码中进行转义
@Test
public void findUserByLikeName3(){
String name = "%";
name = name.replaceAll("_", "\\\\_");
name = name.replaceAll("%", "\\\\%");
List<User> test = userMapper.findUserByLikeName3(name);
System.out.println(test.size());
}
复制代码
②使用ESCAPE
<select id="findUserByLikeName4" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE '/'
</select>
复制代码
测试:
@Test
public void findUserByLikeName4(){
// replaceAll("%", "/%").replaceAll("_", "/_")
String name = "%";
List<User> test = userMapper.findUserByLikeName4(name);
System.out.println(test.size());// 查到所有
List<User> test1 = userMapper.findUserByLikeName4("/" +name);
System.out.println(test1.size());//查到匹配%的记录
}
复制代码
这两种本质都是对查询的关键字进行了处理,这种处理在代码中可使用拦截器或者AOP等技术统一处理。
小总结
一、不要写方式1的这种模糊查询,容易发生sql注入!
建议使用第三种方式进行模糊查询
二、上面这三种模糊查询,都是使用%关键字%,这种方式是不会走索引的,大数据量时候有查询效率问题
看状况,可使用全文索引;或者使用ES进行
说明:网上有一些优化like的查询的,可是亲测后没啥用
三、注意关键词中有%、_这些特殊字符如何处理。
一、业务上不容许输入这些字符,直接过滤(前台、后台过滤)
二、使用上面的ESCAPE或者转义
备注: 因为本人能力有限,文中如有错误之处,欢迎指正。
谢谢你的阅读,若是您以为这篇博文对你有帮助,请点赞或者喜欢,让更多的人看到!祝你天天开心愉快!
- 1. Mybatis中Like 的使用方式以及一些注意点
- 2. RPC 使用中的一些注意点
- 3. Zepto 使用中的一些注意点
- 4. mybatis中LIKE模糊查询的几种写法以及注意点
- 5. mybatis中LIKE模查询糊的几种写法以及注意点
- 6. MyBatis中Like语句使用方式
- 7. jquery 中prop的使用以及一些要注意的问题
- 8. SpringBoot学习笔记6-MyBatis使用中一些注意点
- 9. javascript中的一些核心知识点以及须要注意的地方 javascript中的一些核心知识点以及须要注意的地方
- 10. YYLable 的使用 以及注意点
- 更多相关文章...
- • XML 注意事项 - XML 教程
- • Redis哨兵(Sentinel)模式的配置方法及其在Java中的用法 - Redis教程
- • 常用的分布式事务解决方案
- • C# 中 foreach 遍历的用法
-
每一个你不满意的现在,都有一个你没有努力的曾经。