mybatis bind标签

2023-12-21 14:55:09

使用bind拼接字符串不仅可以避免因更换数据库而修改 SQL,也能预防 SQL 注入

示例,oracle的concat只能支持2个参数相连,下面语句只能在mysql能成功:

<if test="userName != null and userName!=''">
          and user_name like concat('%',#{userName},'%')
</if>

使用bind示例,各数据库通用,除了兼容性,还比上面的优势有预防SQL注入

 <if test="userName != null and userName!=''">
            <bind name="pattern" value="'%'+userName+'%'" />
          AND UPPER(user_name) LIKE UPPER(#{pattern})
</if>
上一篇:C8-输入一个字符串,分别统计并输出其中大写字母的个数,小写字母的个数、数字字符的个数和其他字符的个数


下一篇:burpsuite intruder 小技巧之自动匹配返回值中的特征