ibatis SQLmap mysql模糊查询字符串拼的三种方法
在通常情况下iBATIS的参数在sqlmap中使用#param#的形式,参数名以’#’包着,但当使用sql的LIKE语句时就发生了问题,在单引号中无法使用#param#这种形式,下面列举出了3种方法来实现:
当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时如果要把’value’以参数代替,可以把整个LIKE后面的字符串全改为参数,即 SELECT * FROM TABLE WHERE COL LIKE #param#,此时参数param的值为字符串"value%"。但有时上面这种情况会使程序变复杂,所以用参数只代替’value’时就要碰到在单引号内使用参数的问题。这时是使用’$’将参数名包起来,即SELECT * FROM TABLE WHERE COL LIKE ’$param$%’,此时参数param的值就是字符串"value"。
在网上看到另一种方法,就是SELECT * FROM TABLE WHERE COL LIKE #param#||’%’。这个方法我试过了,是无效的的,mysql中"||"代表程序中的OR,无法正常运行。但是可以通过mysql的字符串了连接函数:contat来实现,将字符串连接起来,这样就可以了,SELECT * FROM TABLE WHERE COL LIKE contat(#param#,’%’)
方法三:在通常情况下iBATIS的参数在sqlmap中使用#param#的形式,参数名以’#’包着,但当使用sql的LIKE语句时就发生了问题,在单引号中无法使用#param#这种形式当应用SELECT * FROM TABLE WHERE COL LIKE ’value%’时如果要把’value’以参数代替,可以把整个LIKE后面的字符串全改为参数,即 SELECT * FROM TABLE WHERE COL LIKE #param#,此时参数param的值为字符串"value%"。
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。