будь позитивным человеком
Пишите, исправляйте ошибки, улучшайте себя
У меня рай, ориентированный на программирование, и цветут весенние цветы!
Нечеткие запросы часто используются в проектах.Эта статья кратко описывает несколько способов использования Like для выполнения нечетких запросов в Mybatis и некоторые распространенные проблемы.
Исходные данные
метод первый
Первый способ записи в Mybatis:
<!--有sql注入问题-->
<select id="findUserByLikeName1" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like '%${name}%'
</select>
Такая проблема будет иметь sql-инъекцию, вы должны понимать, что в Mybatis$и#разница в использовании. Этот способ написания не может добавитьjdbcType=VARCHAR, иначе будет сообщено об ошибке.
Сделал простой тест:
@Test
public void findUserByLikeName1(){
List<User> test = userMapper.findUserByLikeName1("Cloud");
//select * from t_user where name like '%Cloud%'
System.out.println(test.size());// 查出一条
List<User> test1 = userMapper.findUserByLikeName1("' or '1=1");
//select * from t_user where name like '%' or '1=1%'
// 分析: '1=1%' 成立
System.out.println(test1.size());// 查出了全部数据
}
Примечание. Отсортированные поля также подвержены этой проблеме, и вы должны быть внимательны при их использовании.
order by ${orderBy}
На первый метод следует обращать внимание в реальном процессе разработки, и его не следует записывать так.
Способ 2
Второй способ записи в Mybatis:
<!--直接在代码中拼接%, 不存在sql注入-->
<select id="findUserByLikeName2" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like #{name,jdbcType=VARCHAR}
</select>
В коде%.
@Test
public void findUserByLikeName2(){
String name = "Cloud";
List<User> test = userMapper.findUserByLikeName2("%" +name+"%");
// select * from t_user where name like ?
// %Cloud%(String)
System.out.println(test.size());
}
Такой подход также наблюдается в некоторых проектах. Если вы не используете инфраструктуру ORM, такую как Mybatis, вы можете напрямую писать SQL-запросы и соединять их вместе.
способ третий
Третий способ записи в Mybatis:
<!--concat Mysql和 Oracle区别 ,不存在sql注入-->
<select id="findUserByLikeName3" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%')
</select>
контрольная работа:
@Test
public void findUserByLikeName3(){
String name = "Cloud";
List<User> test = userMapper.findUserByLikeName3(name);
// select * from t_user where name like concat('%',?,'%')
// Cloud(String)
System.out.println(test.size());
}
Рекомендуется использовать этот метод в реальной разработке.
мало внимания
когда используешьспособ третий, если ключевое слово запроса%, какая будет ситуация? в данных инициализацииnameВключено 9 частей данных%.
SQL-запрос выглядит следующим образом:
select * from t_user where name like concat('%','%','%')
Узнайте все данные, а не просто включите%данные, если запрос_То же самое справедливо.
В этом случае он точно не соответствует требованиям запроса и нуждается в корректировке.
① Побег в коде
@Test
public void findUserByLikeName3(){
String name = "%";
name = name.replaceAll("_", "\\\\_");
name = name.replaceAll("%", "\\\\%");
List<User> test = userMapper.findUserByLikeName3(name);
System.out.println(test.size());
}
②ИспользоватьESCAPE
<select id="findUserByLikeName4" parameterType="java.lang.String" resultMap="user">
select * from t_user where name like concat('%',#{name,jdbcType=VARCHAR},'%') ESCAPE '/'
</select>
контрольная работа:
@Test
public void findUserByLikeName4(){
// replaceAll("%", "/%").replaceAll("_", "/_")
String name = "%";
List<User> test = userMapper.findUserByLikeName4(name);
System.out.println(test.size());// 查到全部
List<User> test1 = userMapper.findUserByLikeName4("/" +name);
System.out.println(test1.size());//查到匹配%的记录
}
Две сущности заключаются в обработке ключевых слов запроса, которые могут быть единообразно обработаны в коде с использованием таких технологий, как перехватчики или АОП.
краткое содержание
1. Не пишите такой нечеткий запрос в режиме 1, он подвержен SQL-инъекциям!
Для нечетких запросов рекомендуется использовать третий метод.
2. Используются все три вышеуказанных нечетких запроса.%关键字%, этот метод не будет использовать индекс, и возникает проблема с эффективностью запроса при наличии большого объема данных.
В зависимости от ситуации вы можете использовать полнотекстовое индексирование или использовать ES для
Примечание: в Интернете есть несколько оптимизированных подобных запросов, но после личного теста они бесполезны.
3. Обратите внимание на то, как обращаться со специальными символами, такими как % и _, в ключевых словах.
1. Этих персонажей нельзя вводить в дело, и они напрямую фильтруются (фильтрация переднего плана и фона)
2. Используйте вышеуказанный ESCAPE или побег
Примечания: Из-за моих ограниченных возможностей, если в тексте есть какие-либо ошибки, пожалуйста, поправьте меня.
Спасибо за чтение, если вы найдете этот пост в блоге полезным, пожалуйста, поставьте лайк, чтобы его увидело больше людей! Желаю тебе счастливого дня!
Технологический парк Java-программирования: Публичный аккаунт для обмена знаниями в области программирования. Следуйте за старыми водителями, чтобы освоить технические знания о галантерейных товарах, каждый день добивайтесь небольшого прогресса, и пусть маленькие накопления принесут большие перемены!
Сканируйте внимание, фоновый ответ【Читы】, получите заветную галантерею!99.9%друзьям это нравится