真实代码摘录 :
<isNotEmpty prepend="AND" property="companyName">
<![CDATA[ companyName like concat('%',#companyName#,'%' )]]>
</isNotEmpty>
网上文章方案:
ibatis中使用like模糊查询
无效的方法:
|
1
2
|
Sql代码
select
*
from
table1
where
name
like
'%#name#%'
|
两种有效的方法:
1. 使用$代替#。此种方法就是去掉了类型检查,使用字符串连接,不过可能会有sql注入风险。
|
1
2
|
Sql代码
select
*
from
table1
where
name
like
'%$name$%'
|
2.使用连接符。不过不同的
数据库中方式不同。
|
1
2
3
4
5
6
7
8
9
|
mysql:
Sql代码
select
*
from
table1
where
name
like
concat(
'%'
, #
name
#,
'%'
)
oracle:
Sql代码
select
*
from
table1
where
name
like
'%'
|| #
name
# ||
'%'
sql server:
Sql代码
select
*
from
table1
where
name
like
'%'
+ #
name
# +
'%'
|
注意:在实际开发中,往往我们需要将模糊查询的空格去掉。为了防止将去除空格放到业务层去,因此我建议如下写(oracle 中,其他数据库雷同):
|
1
2
|
Sql代码
select
*
from
table1
where
name
like
'%'
|| Trim(#
name
#) ||
'%'
|
本文探讨了在IBatis中使用like模糊查询的几种有效方法,并强调了在Oracle数据库中去除查询条件中空格的重要性以防止SQL注入风险。同时提供了在不同数据库环境下实现该操作的具体SQL代码。
290

被折叠的 条评论
为什么被折叠?



