Ibatis 的 模糊查询 SQL_Android, Python及开发编程讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  Android, Python及开发编程讨论区 »
总帖数
1
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 1986 | 回复: 0   主题: Ibatis 的 模糊查询 SQL        下一篇 
    本主题由 koei123 于 2015-7-14 11:05:43 移动
flying
注册用户
等级:下士
经验:153
发帖:75
精华:0
注册:2011-8-25
状态:离线
发送短消息息给flying 加好友    发送短消息息给flying 发消息
发表于: IP:您无权察看 2015-7-14 10:39:45 | [全部帖] [楼主帖] 楼主

对于一条简单的sql语句,例如:

Select * from user where id=#id#


Ibatis会把sql预编译为

select * from user where id=?


接着会把传入的值进行填充,类似于 jdbc 的 preparestatment 的形式。
之前的sql是简单的形式,加入需要用到模糊查询的like就比较麻烦,而且可能会出现sql注入的情况。
假如需要查询用户名中带"sa"的用户,可能会这样来写 sql

select * from user where name like '%sa%'


但是在ibatis的xml中不能这样写,如果写成

select * from user where name like #%sa%# 或者 like %#sa#% 是肯定不行的,会有报错。


有个很简单的办法,就是写成

select * from user where name like '%$name$%'


的样子,$符号会把参数原样嵌入sql语句中而不进行预编译,这就使得有可能出现sql注入攻击。其实ibatis从根本上简单的说,凡是#的,都作为参数,用setobject方式预编译。而$方式的,则直接替换字符串。 所以说,$很不安全,会把用户的输入直接当参数放入 sql。

结论:最好不要用like来进行查询,1是因为效率低,2是因为在ibatis里使用是相当麻烦的,可读性很差,如果真的要用,不要使用$,而是使用#的like拼凑形式:

select * from user where name like '%' #name# '%';


--转自 北京联动北方科技有限公司

该贴由koei123转至本版2015-7-14 11:05:43



赞(0)    操作        顶端 
总帖数
1
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论