AI 助理
备案控制台
开发者社区 数据库 文章 正文

mapper中注解SQL模糊查询需要注意的问题

2023-06-30 137
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 取值使用$参数前面加@Param注解,内容是server调用时候传参的名称。 
@Select("select * from product where pname like '%${word}%'")
  List<Product> search(@Param("word") String word);

取值使用$

参数前面加@Param注解,内容是server调用时候传参的名称。

但是众所周知,使用${}获取字段值存在sql注入风险

还是换成下面这种写法比较安全

1.@Select("<script>
<bind name="wordLike" value="'%' + word + '%'" />
select * from product where pname like #{wordLike}
</script>")
  List<Product> search(@Param("word") String word);
文章标签:
SQL
安全
关键词:
mapper SQL
SQL mapper
SQL注解
SQL模糊查询
阿里云博主-阿演
目录
相关文章
a15034260562-24955
|
9月前
|
SQL
sql server模糊查询、分组
sql server模糊查询、分组
a15034260562-24955
81 1
匿瘾
|
SQL Java 数据库连接
MyBatis进阶:掌握MyBatis动态SQL与模糊查询、结果映射
MyBatis进阶:掌握MyBatis动态SQL与模糊查询、结果映射
匿瘾
408 0
不念那年晚春
|
SQL XML Java
Mybatis系列(二)之动态SQL和模糊查询
Mybatis系列(二)之动态SQL和模糊查询
不念那年晚春
397 0
DJJ懒洋洋
|
SQL XML Java
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
DJJ懒洋洋
1366 0
java冯坚持
|
4月前
|
SQL Java 数据库连接
mybatis使用四:dao接口参数与mapper 接口中SQL的对应和对应方式的总结,MyBatis的parameterType传入参数类型
这篇文章是关于MyBatis中DAO接口参数与Mapper接口中SQL的对应关系,以及如何使用parameterType传入参数类型的详细总结。
java冯坚持
86 10
武子康
|
4月前
|
SQL 分布式计算 Java
Hadoop-11-MapReduce JOIN 操作的Java实现 Driver Mapper Reducer具体实现逻辑 模拟SQL进行联表操作
Hadoop-11-MapReduce JOIN 操作的Java实现 Driver Mapper Reducer具体实现逻辑 模拟SQL进行联表操作
武子康
68 3
热爱技术的小郑
|
6月前
|
SQL Java 数据库连接
Mybatis系列之 Error parsing SQL Mapper Configuration. Could not find resource com/zyz/mybatis/mapper/
文章讲述了在使用Mybatis时遇到的资源文件找不到的问题,并提供了通过修改Maven配置来解决资源文件编译到target目录下的方法。
热爱技术的小郑
254 1
Mybatis系列之 Error parsing SQL Mapper Configuration. Could not find resource com/zyz/mybatis/mapper/
蓝易云
|
5月前
|
SQL XML Java
mybatis :sqlmapconfig.xml配置 ++++Mapper XML 文件(sql/insert/delete/update/select)(增删改查)用法
当然,这些仅是MyBatis功能的初步介绍。MyBatis还提供了高级特性,如动态SQL、类型处理器、插件等,可以进一步提供对数据库交互的强大支持和灵活性。希望上述内容对您理解MyBatis的基本操作有所帮助。在实际使用中,您可能还需要根据具体的业务要求调整和优化SQL语句和配置。
蓝易云
95 1
爱你三千遍斯塔克
|
7月前
|
SQL
自定义SQL,可以利用MyBatisPlus的Wrapper来构建复杂的Where条件,如何自定义SQL呢?利用MyBatisPlus的Wrapper来构建Wh,在mapper方法参数中用Param注
自定义SQL,可以利用MyBatisPlus的Wrapper来构建复杂的Where条件,如何自定义SQL呢?利用MyBatisPlus的Wrapper来构建Wh,在mapper方法参数中用Param注
爱你三千遍斯塔克
236 1
多多!
|
8月前
|
SQL Java 数据库连接
2万字实操案例之在Springboot框架下基于注解用Mybatis开发实现基础操作MySQL之预编译SQL主键返回增删改查
2万字实操案例之在Springboot框架下基于注解用Mybatis开发实现基础操作MySQL之预编译SQL主键返回增删改查
多多!
111 2

热门文章

最新文章

  • 1
    Flink SQL 详解:流批一体处理的强大工具
  • 2
    MySQL原理简介—1.SQL的执行流程
  • 3
    【潜意识Java】MyBatis中的动态SQL灵活、高效的数据库查询以及深度总结
  • 4
    MySQL进阶突击系列(07) 她气鼓鼓递来一条SQL | 怎么看执行计划、SQL怎么优化?
  • 5
    如何在 Oracle 中配置和使用 SQL Profiles 来优化查询性能?
  • 6
    【SQL技术】不同数据库引擎 SQL 优化方案剖析
  • 7
    如何用 Java 校验 SQL 语句的合法性?
  • 8
    Java使用sql查询mongodb
  • 9
    MySQL原理简介—10.SQL语句和执行计划
  • 10
    ASPX+MSSQL注如;SQL盲注
  • 1
    MyBatis的强大特性--动态SQL
    101
  • 2
    mysql插入500条数据sql语句
    97
  • 3
    实时计算 Flink版产品使用合集之怎么将MyBatis-Plus集成到SQL语法中
    295
  • 4
    MySQL进阶-增删查改(全网最详细sql教学)-3
    48
  • 5
    MySQL进阶-增删查改(全网最详细sql教学)-2
    54
  • 6
    MySQL进阶-增删查改(全网最详细sql教学)-1
    67
  • 7
    实时计算 Flink版产品使用合集之sql真正的执行顺序是怎样的
    106
  • 8
    实时计算 Flink版产品使用合集之sql读取mysql写入clickhouse,该如何操作
    196
  • 9
    实时计算 Flink版产品使用合集之如何SQL同步数据到Oracle数据库中
    164
  • 10
    实时计算 Flink版产品使用合集之 sql采集mysql能拿到before的数据吗
    64

    • 相关课程

    更多
  • 如何在 PolarDB-X 中优化慢 SQL
  • SQL完全自学手册
  • SQL Server on Linux入门教程
  • SQL入门与实践
  • 数据库及SQL/MySQL基础
  • SQL进阶及查询

    • 相关电子书

    更多
  • SQL Server 2017
  • GeoMesa on Spark SQL
  • 原生SQL on Hadoop引擎- Apache HAWQ 2.x最新技术解密malili

    • 相关实验场景

    更多
  • PolarDB for AI:在数据库中通过SQL实现AI能力
  • 玩转MaxCompute SQL! 30分钟搞定数据分析挖掘
  • SQL进阶之约束、索引
  • SQL进阶之子句、关键字和操作符
  • 一小时快速掌握 SQL 语法
  • RDS MySQL的SQL问题诊断与调优
    • 下一篇
    PAI Model Gallery 支持云上一键部署 DeepSeek-V3、DeepSeek-R1 系列模型