mybatis模糊查询mybatis中的模糊查询是怎样实现的mybatis如何进行模糊查询




  • 首页
  • mybatis模糊查询mybatis中的模糊查询是怎样实现的mybatis如何进行模糊查询

mybatis模糊查询mybatis中的模糊查询是怎样实现的mybatis如何进行模糊查询

2022-07-21 2:25:36 网络知识 官方管理员
204|0条评论

一、模糊查询

1.1、抽象接口

List<Map<String,Object>>selectLIKEUser(Map<String,Object>parmsMap);复制代码

1.2、xml

  • 看到这个就知道为啥字段如果是like的话要用票号包起来了吧?
<selectid="selectLIKEUser"resultType="map"parameterType="map">select*fromuserwherenamelike"%"#{name}"%"</select>复制代码

1.3、测试类

@TestpublicvoidselectLIKEUser(){SqlSessionsession=MybatisUtils.getSession();UserMappermapper=session.getMapper(UserMapper.class);Map<String,Object>parmsMap=newHashMap<>();parmsMap.put("name","面");List<Map<String,Object>>resultList=mapper.selectLIKEUser(parmsMap);for(Mapmap:resultList){System.out.println(map);}session.close();}复制代码

1.4、执行结果

mybatis模糊查询(mybatis中的模糊查询是怎样实现的)(1)

  • 结果

mybatis模糊查询(mybatis中的模糊查询是怎样实现的)(2)

二、SQL注入

2.1、#和$的区别

  • #将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。
  • $将传入的数据直接显示生成在sql中。
  • #方式能够很大程度防止sql注入,$方式无法防止Sql注入。
  • $方式一般用于传入数据库对象,例如传入表名。
  • 一般能用#的就别用$,若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止SQL注入攻击。

2.2、#和$验证

①我们使用log4j来将SQL执行语句打印在控制台上。

  • 导入jar
<dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.6.1</version></dependency>复制代码
  • log4j2.properties
log4j.rootLogger=DEBUG,console,filelog4j.appender.console=org.apache.log4j.ConsoleAppenderlog4j.appender.console.Target=System.outlog4j.appender.console.Threshold=DEBUGlog4j.appender.console.layout=org.apache.log4j.PatternLayoutlog4j.appender.console.layout.ConversionPattern=[%c]-%m%nlog4j.appender.file=org.apache.log4j.RollingFileAppenderlog4j.appender.file.File=log/tibet.loglog4j.appender.file.MaxFileSize=10mblog4j.appender.file.Threshold=ERRORlog4j.appender.file.layout=org.apache.log4j.PatternLayoutlog4j.appender.file.layout.ConversionPattern=[%p][%d{yy-MM-dd}][%c]%m%nlog4j.logger.org.mybatis=DEBUGlog4j.logger.java.sql=DEBUGlog4j.logger.java.sql.Statement=DEBUGlog4j.logger.java.sql.ResultSet=DEBUGlog4j.logger.java.sql.PreparedStatement=INFO复制代码
  • ContextAplication.xml
<settings><settingname="logImpl"value="STDOUT_LOGGING"></setting></settings>复制代码
  • 这样就开启了日志输出,这里只介绍最简单的,不作详细讲解log4j日志。

②SQL-xml

  • #
<selectid="getUserInfoById"resultType="com.dbright.pojo.User">select*fromuserwhereid=#{id}</select>复制代码
  • $
<selectid="getUserInfoById"resultType="com.dbright.pojo.User">select*fromuserwhereid=${id}</select>复制代码

③分别执行结果

  • #

mybatis模糊查询(mybatis中的模糊查询是怎样实现的)(3)

$

mybatis模糊查询(mybatis中的模糊查询是怎样实现的)(4)

2.3、如何模拟sql注入?

  • 注入非法语句:

mybatis模糊查询(mybatis中的模糊查询是怎样实现的)(5)

结果:查出了所有的数据,不安全

mybatis模糊查询(mybatis中的模糊查询是怎样实现的)(6)

如何解决呢?

  • 能用#就用
  • 一定要用$的情况下,在service增加验证,比如我们的例子,只接受int类型的参数即可。
  • 或者简单地判断一下参数是否超过长度,因为注入语句一般很长!


mongodb查询语句mongodb常用命令总结mongodb查询语句大全 gdb调试命令总结gdb调试命令的使用及总结GDB调试命令

发表评论:

MORE>
热门推荐 网友点评
最近发表
网站分类
标签列表