(1) ibatis xml配置：下面的寫法只是簡單的轉義 namelike '%$name$%'

(2) 這時會導致sql注入問題，比如參數name傳進一個單引號“'”，生成的sql語句會是：name like '%'%'

(3) 解決方法是利用字符串連接的方式來構成sql語句 name like '%'||'#name#'||'%'

(4) 這樣參數都會經過預編譯，就不會發生sql注入問題了。

(5) #與$區別:

#xxx# 代表xxx是屬性值,map里面的key或者是你的pojo對象里面的屬性,ibatis會自動在它的外面加上引號,表現在sql語句是這樣的 where xxx = 'xxx' ;

$xxx$ 則是把xxx作為字符串拼接到你的sql語句中, 比如 order by topicId , 語句這樣寫 ... order by #xxx#，ibatis 就會把他翻譯成 order by 'topicId' (這樣就會報錯) 語句這樣寫 ... order by $xxx$ibatis 就會把他翻譯成 order by topicId

?
SELECT *?? FROM user? WHERE username like '%$username$%'? 的安全寫法
Sql代碼?
SELECT *???????? FROM user??????? WHERE username like '%'? || #username# || '%'??
SELECT * FROM user WHERE username like '%' || #username# || '%'

==============================

select d.DRUG_ID,d.DRUG_NAME,d.EXTRACT,dd.SUMMARY from DRUG_BASE_INFO d
left join drug_dev_profile dd on d.drug_id=dd.drug_id
where dd.summary like '%'||d.EXTRACT||'%'

總結

以上是生活随笔為你收集整理的oracle like 条件拼接的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。