---

扩展：MyBatis系列学习汇总

---

文章目录

• • • • 一、模糊查询
      • • 1.1、抽象接口
        • 1.2、xml
        • 1.3、测试类
        • 1.4、执行结果
      • 二、SQL注入
      • • 2.1、`#`和`$`的区别
        • 2.2、`#`和`$`验证
        • 2.3、如何模拟sql注入？

一、模糊查询

1.1、抽象接口

List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap);

1.2、xml

• 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧？

	<select id="selectLIKEUser" resultType="map" parameterType="map">
        select
               *
        from
             user
        where
            name like "%"#{name}"%"

    </select>

1.3、测试类

	@Test
    public void selectLIKEUser() {
        SqlSession session = MybatisUtils.getSession();
        UserMapper mapper = session.getMapper(UserMapper.class);
        Map<String,Object> parmsMap = new HashMap<>();
        parmsMap.put("name","面");
        List<Map<String,Object>> resultList = mapper.selectLIKEUser(parmsMap);

        for (Map map: resultList){
            System.out.println(map);
        }
        session.close();
    }

1.4、执行结果

• 数据
  

• 结果

二、SQL注入

2.1、#和$的区别

• #将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。
• $将传入的数据直接显示生成在sql中。
• #方式能够很大程度防止sql注入，$方式无法防止Sql注入。
• $方式一般用于传入数据库对象，例如传入表名。
• 一般能用#的就别用$，若不得不使用“${xxx}”这样的参数，要手工地做好过滤工作，来防止SQL注入攻击。

2.2、#和$验证

①我们使用log4j来讲SQL执行语句打印在控制台上。

• 导入jar

		<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.6.1</version>
        </dependency>

• log4j2.properties

log4j.rootLogger=DEBUG,console,file

log4j.appender.console = org.apache.log4j.ConsoleAppender
log4j.appender.console.Target = System.out
log4j.appender.console.Threshold=DEBUG
log4j.appender.console.layout = org.apache.log4j.PatternLayout
log4j.appender.console.layout.ConversionPattern=[%c]-%m%n

log4j.appender.file = org.apache.log4j.RollingFileAppender

log4j.appender.file.File=log/tibet.log

log4j.appender.file.MaxFileSize=10mb
log4j.appender.file.Threshold=ERROR
log4j.appender.file.layout=org.apache.log4j.PatternLayout
log4j.appender.file.layout.ConversionPattern=[%p][%d{yy-MM-dd}][%c]%m%n

log4j.logger.org.mybatis=DEBUG
log4j.logger.java.sql=DEBUG
log4j.logger.java.sql.Statement=DEBUG
log4j.logger.java.sql.ResultSet=DEBUG
log4j.logger.java.sql.PreparedStatement=INFO

• ContextAplication.xml

	<settings>
        <setting name="logImpl" value="STDOUT_LOGGING"></setting>
    </settings>

• 这样就开启了日志输出，这里只介绍最简单的，不作详细讲解log4j日志。

②SQL-xml

• #

	<select id="getUserInfoById" resultType="com.dbright.pojo.User">
        select * from user where id = #{id}
    </select>

• $

	<select id="getUserInfoById" resultType="com.dbright.pojo.User">
        select * from user where id = ${id}
    </select>

③分别执行结果

• #
  

• $
  

2.3、如何模拟sql注入？

• 注入非法语句：
  

• 结果：查出了所有的数据，不安全
  

• 如何解决呢？

  • 能用#就用
  • 一定要用$的情况下，在service层加验证，比如我们的例子，只接受int类型的参数即可。
  • 或者简单的判断一下参数是否超过长度，因为注入语句一般很长！

---

路漫漫其修远兮，吾必将上下求索！

如果你认为i博主写的不错！写作不易，请点赞、关注、评论加收藏！三连一下！给博主一个鼓励吧~

​ 转载请注明出处哦~