MyBatis中 like 的使用
使用數據庫
MySQLsql
用法1
<if test="carplate!=null and carplate!=''">
<![CDATA[
AND vehicle.carplate like '%${carplate}%'
]]>
</if>
用法2
<if test="carplate!=null and carplate!=''">
<![CDATA[
AND vehicle.carplate like CONCAT('%',#{carplate},'%')
]]>
</if>
兩種用法比較
效果上是同樣的。數據庫
可是用法1是有sql注入的風險的。好比:若是 carplate 參數輸入值爲spa
123%’;drop table ttt; --日誌
這樣可能會執行 delete user 語句。code
★試驗一把sql注入,真的發生了
執行並查看打印的日誌,xml
Sql格式沒問題,而且執行了 DROP TABLE ttt; 的操做。blog
這樣就把 ttt 表刪除了。table
使用用法2,則沒有這個問題。class
相關文章
- 1. oracle 在 MyBatis 中使用 like
- 2. MyBatis中Like語句使用方式
- 3. mybatis 中使用like關鍵字
- 4. mybatis 中使用like 和出現錯誤
- 5. Mysql + mybatis 的 like 用法
- 6. mybatis中LIKE模糊查詢
- 7. Mybatis中Like 的使用方式以及一些注意點
- 8. mybatis like查詢%
- 9. mybatis中你會使用like模糊查詢嗎?
- 10. MyBatis中Like語句使用方式及解決索引失效
- 更多相關文章...
- • 在Spring中使用Redis - Redis教程
- • Redis中使用Lua語言 - Redis教程
- • C# 中 foreach 遍歷的用法
- • Composer 安裝與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
