mybatis模糊查询防止SQL注入

推荐写法

    <select id="getByNameGood" parameterType="string" resultType="com.javaone.passmybatis.entity.Student">
        select
        s.age,
        s.email,
        s.id,
        s.name
        from
        student s
        where s.name like concat('%',#{name},'%')
    </select>

使用like concat后就使用#{}的形式来占位了。

写法二

where s.name like concat('%',${name},'%')

这个其实也是可以的

差异分析

  • #{}是预编译处理,mybatis在处理#{}时,它会将sql中的#{}替换为?,然后调用PreparedStatement的set方法来赋值,传入字符串后,会在值的两边加上单引号。使用占位符的方式提高效率,防止sql注入
  • ${}:表示拼接sql串,将接收到的参数的内容不加修饰拼接在sql中,可能引发sql注入
posted @   周XX  阅读(380)  评论(0编辑  收藏  举报
相关博文:
·  springboot使mybatis打印SQL日志
·  SpringBoot集成Mybatis 实现InsertOrUpdate功能
·  mybatise#{}如何防止sql注入
·  MyBatis模糊查询的几种方法
·  mybatis #{} 和 ${} 的区别
阅读排行:
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 单元测试从入门到精通
· 上周热点回顾(3.3-3.9)
· winform 绘制太阳,地球,月球 运作规律
点击右上角即可分享
微信分享提示
AI IDE Trae