mybatis模糊查询语句及注意事项

		select count(*)
		from t_user
		
			loginacct like concat("%",#{queryText},"%")
		
	

1.动态查询语句

2.SQL中占位符不能在单引号中，否则，会以?进行查询数据

'%#{param}%'

'%?%'

3.SQL中不能使用加号进行字符串拼接，加号是用来做运算的

'%'+'D'+'%'

4.MyBatis进行拼串,拼串会出现  SQL 注入情况 ,例如：“or 1=1”

'%${param}%'

5.使用内置方法进行拼串

concat('%',#{param},'%')

6.查询条件值本身为%,查询出所有的数据

concat('%',#{param},'%') => '%%%'

 '%\%%'  使用转译字符再进行查询。

7.#和\是一个意思，表示转译。使用#代替\

select * from t_user where username like '%#%%' escape '#'

select * from t_user where loginacct like '%@%%' escape '@'

SELECT * FROM t_user WHERE loginacct LIKE concat('%','@%','%') ESCAPE '@'

 

8.常见的SQL文,在Oracle中，使用两个竖线用来表示字符串拼接，MySQL中没有这样的语法。

select * from t_user where username like '%'|| #{param} ||'%'

 

• SQL参数问题

select count(*) from t_user                                          loginacct like '%#{queryText}%'                                            select * from t_user                                           loginacct like '%#{queryText}%'                                  limit #{start}, #{size}

• 有3个参数,但是只是指定了2个.
• Select * from t_user where loginacct like '%#{loginacct}%' limit?,?

org.springframework.dao.TransientDataAccessResourceException: ### Error querying database.  Cause: java.sql.SQLException: Parameter index out of range (3 > number of parameters, which is 2). ### The error may exist in URL [jar:file:/F:/atcrowdfunding/workspace/.metadata/.plugins/org.eclipse.wst.server.core/tmp0/wtpwebapps/atcrowdfunding-main/WEB-INF/lib/atcrowdfunding-user-0.0.1-SNAPSHOT.jar!/mybatis/mapper-user.xml] ### The error may involve defaultParameterMap ### The error occurred while setting parameters ### SQL: select * from t_user           WHERE loginacct like '%?%'          limit ?, ? ### Cause: java.sql.SQLException: Parameter index out of range (3 > number of parameters, which is 2). ; SQL []; Parameter index out of range (3 > number of parameters, which is 2).; nested exception is java.sql.SQLException: Parameter index out of range (3 > number of parameters, which is 2).

• SQL注入问题 :

Id = 100 OR 1=1

SELECT * FROM t_user WHERE id= ${id}

SELECT * FROM t_user WHERE id=  100 OR 1=1

 

在特定场合可以使用${}:

例如:

• Create table ${tableName} …      //表名称位置不能使用?占位符,所以也就不能使用#{}
• Order by ${fieldName} asc   //对字段进行排序,可以 传递动态字段名称.

select count(*) from t_user                                          loginacct like '%${queryText}%'                                            select * from t_user                                           loginacct like '%${queryText}%'                                  limit #{start}, #{size}

• SQL拼接问题
  • 不能使用加号拼接

• 使用concat()函数拼接字符串

select count(*) from t_user                                          loginacct like concat('%',#{queryText},'%')                                            select * from t_user                                           loginacct like concat('%',#{queryText},'%')                                  limit #{start}, #{size}

• 查询关键字为% 和 \
  • 查询关键字为%将数据都查询出来了,不安全.
  • 对查询的特殊符号进行转译.

• 解决:
  • Java中转译

String queryText = "%"; if(StringUtil.isNotEmpty(queryText)){  //斜线本身需要转译,regex中两个\\表示一个\ ; Java中也是两个\\表示一个\;所以,需要四个斜线 queryText = queryText.replaceAll("%", "\\\\%"); System.out.println("--------------"+queryText);                         }

• SQL语句中转译
  • 对特殊符号进行转译;斜杠本身也属于特殊符号,需要转译.

select * from t_user where loginacct like '%\\%%'

• 注意:
  • 尽量在保存数据时,验证数据的合法性,尽量避免存在的字符串中含有特殊符号.
  • 但是,有时无法避免,则需要进行特殊处理:

例如:

"<<合同编号[101]文件>>"

"D:\\atguigu"