zoukankan      html  css  js  c++  java
  • oracle like 条件拼接

    (1) ibatis xml配置:下面的写法只是简单的转义 namelike '%$name$%'

    (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'

    (3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

    (4) 这样参数都会经过预编译,就不会发生sql注入问题了。

    (5) #与$区别:

    #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性,ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

    $xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx#,ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ibatis 就会把他翻译成 order by topicId

     
    SELECT *   FROM user  WHERE username like '%$username$%'  的安全写法
    Sql代码 
    SELECT *         FROM user        WHERE username like '%'  || #username# || '%'  
    SELECT * FROM user WHERE username like '%' || #username# || '%'

    ==============================

    select d.DRUG_ID,d.DRUG_NAME,d.EXTRACT,dd.SUMMARY from DRUG_BASE_INFO d
    left join drug_dev_profile dd on d.drug_id=dd.drug_id
    where dd.summary like '%'||d.EXTRACT||'%'

  • 相关阅读:
    javascript中闭包
    bootstrap模版
    JS中DOM操作
    css重置样式
    API--未完待续
    JavaScript 的面向对象
    「 JavaScript 篇 」
    CSS篇
    淘宝前端的一些面试题
    BOM里的window命令; cookie的用法
  • 原文地址:https://www.cnblogs.com/soundcode/p/8908596.html
Copyright © 2011-2022 走看看