java sql like ? PreparedStatement 占位符 预编绎

最新推荐文章于 2026-06-16 12:16:11 发布
转载 最新推荐文章于 2026-06-16 12:16:11 发布 · 6.7k 阅读 · 0
标签
#java #sql #编程 #测试
本文解答了在使用SQL预编译命令与LIKE结合时遇到的问题,指出不能将问号(?)写在单引号内,并通过实例解释了原因及正确的实现方式。

 

近日本人在做项目时,页面需提供查询功能。在使用预编绎命令与like结合时,出现了问题:要么提示索引越界,要么空指针。经过一番努力,现与大家分享下问题是怎么解决的,解决方案如下:

我们先拿学生表简单举个例子,假如我们现在查询学生姓名中包含"华"字的同学,通常我们会编写如下的java代码:

connection.PreparedStatement("select * from student where namelike '%?%' ");       (假如学生表名为student,姓名字段为name)

setString(1,"华");   

按照以往的编程经验不难看出编程者的本意是这样的:用文字"华"来动态的将'%?%'中的?号替换掉,可运行结果却不是编程者所期待的。先别着急,我们再来看一个小例子:

查询出年龄为20的同学

connection.PreparedStatement("select * from student where age = ? " );        (假如学生表名为student,年龄字段为age)

setInt(1,20);  

运行这段代码能正确得出想要的结果。与上面的示例相比较,原理都是一样啊,为什么这个可以正常得到结果而上面的不行呢??

 

 

 

下面直接贴出代码

 

connection.PreparedStatement("select * from student where name like ? " );       (假如学生表名为student,姓名字段为name)

setString(1,"%华%");  

经本人测试得出以下结论:在使用预编绎时不能把?写在单引号内!看到这里,想必您明白了。其实setXXX(index,value)就是把value放在index的位置上。不管你的预编驿命令中有没有出现like。综上所述,其实结论很简单,就是赋值的时候绕了点弯子而已。

------------------------------

原文地址:http://hi.baidu.com/fei126222/blog/item/e35326d61468943d06088b66.html

 

tanmingbo
关注
DeepSeek MyBatis 防止 SQL 注入的核心机制是使用预编译语句(PreparedStatement),并通过 #{} 占位符语法将参数作为值传递,而不是直接拼接到 SQL 语句中
m0_37843156的博客
03-06 145
MyBatis 防止 SQL 注入的核心机制是使用预编译语句(PreparedStatement),并通过 #{} 占位符语法将参数作为值传递,而不是直接拼接到 SQL 语句中。如果 userInput 传入 ’ OR ‘1’='1,最终 SQL 变成 SELECT * FROM users WHERE username = ‘’ OR ‘1’=‘1’,就会绕过认证。使用 #{} 时,LIKE 查询的百分号不能写在占位符内部,因为 #{} 会给字符串加引号,导致 % 被当作普通字符。
SQL学习日志------like用法
m0_57011532的博客
08-06 849
like用法 select * from table where columns like '%%%% ' %%%可填入任意构造的组合,例如: ^ABscd -------开头为ABscd ABscd$ ------结尾为ABscd _y ------第一个字符任意,第二个字符为y %b% -------%为占位符,可代表任意多字符,及只要含有b就行 ...
Sql中的like用法
热门推荐
笑看江湖
06-15 6万+
Like中的通配符包含有: 通配符 Description 示例 % 包含零个或多个字符的任意字符串。 WHERE title LIKE '%computer%'将查找在书名中任意位置包含单词"computer"的所有书名。 _(下划线) 任何单个字符。 WHERE au_fname LIKE '_ean'将查找以e...
sql中使用占位符时,like字句的处理
彪叔的博客
03-09 3817
为了防止sql注入,一般使用"?"作为占位符,但是遇到需要like条件的时候,就有有点小问题 sb.append("and functionName like ? "); params.add("%" + functionName + "%"); 以上这个小技巧是比较好的解决方案,然而我每次都要忘记,在此记录存档! ...
sqllikejava中的写法
qq_50280782的博客
06-09 398
日常笔记。
聊聊 SQL 语句中的占位符
yangshuquan的专栏
08-21 1873
大家都知道,在 SQL 语句中,可以使用 LIKE 进行模糊查询,但可能大家不知道的是,LIKE 语句的占位符除了 % 占位符之外,还有 _ 占位符,理解这些占位符可以帮助我们更有效地构造查询并进行字符串匹配,提高程序性能
java mysql 占位符_在Java中编写带占位符SQL语句
weixin_30699915的博客
01-19 1749
C#中SQL中带占位符的语句假设有一张学员信息表Student,通过表中的ID来找学员,查询的SQL语句如下string sql = string.Format("select * from Student where id={0} ",id);正常Java的语句String sql="select * from tbl_board where id=?";上面这种Java语句中的 ?也相当于一个...
SQL注入关于预编译的理解
qq_43936524的博客
03-23 5779
文章目录预编译为什么能防注入预编译的局限性like语句动态传入的表名列名等预编译的深入理解预编译的起源预编译作用预编译开启mybatis是如何实现预编译的 预编译为什么能防注入 以java为例,其中预编译使用preparestatement,对其进行语法分析,编译和优化,其中用户传入的参数用占位符?代替。 当语句真正运行时,传过来的参数只会被看成纯文本,不会重新编译,不会被当做sql指令。 例如当攻击者使用payload:user;select 1-- 真正执行的语句为 select * from mysq
Java中的SQL注入简易分析
鸣蜩十四的博客
08-04 3565
Java中的JDBC与Mybatis中的SQL注入简易分析
你不知道的PreparedStatement预编
布道
11-28 7981
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 目录 1. mysql是否默认开启了预编译功...
like 预编译问题
canon_in_csdn的博客
09-14 896
关于like预编译问题,先上代码 String str = "长江"; Connection conn = null; PreparedStatement ps = null; //比较preparestatement和statement ResultSet rs = null; try { //2.建立连接 conn = JdbcUtils.ge...
Java开发中SQL注入防御全解析:从PreparedStatement到MyBatis最佳实践
最新发布
weixin_34378767的博客
06-16 497
SQL注入是一种常见且危害极大的Web安全漏洞,其本质在于攻击者能够将恶意构造的数据作为SQL代码的一部分执行,从而绕过应用层逻辑直接操作数据库。其核心防御原理在于严格区分数据与代码,通过参数化查询确保用户输入始终被当作数据处理,而非可执行的指令。在Java技术栈中,这一原理主要通过预编译机制实现技术价值,它能从根本上杜绝大部分注入攻击。具体到工程实践,开发者需要深入理解JDBC的PreparedStatement工作机制,并掌握主流ORM框架如MyBatis中#{}与${}操作符的关键区别。正确的应用场景
java培训 | Mybatis 中的 PreparedStatement 预编
zjjcchina的博客
06-22 347
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。1. mysql是否默认开启了预编译功能?mysql是否支持预编译有两层意思:SELECT VERSION(); // 5.6.24-logSHOW GLOBAL
java mysql模糊查询_Java数据库学习之模糊查询(like
weixin_28771365的博客
01-19 1378
Java数据库学习之模糊查询(like ):第一种方式:直接在SQL语句中进行拼接,此时需要注意的是parm在SQL语句中需要用单引号拼接起来,注意前后单引号之间不能空格String sql = "select * from tb_user where uname like '%" + parm + "%'";第二种方式: 使用占位符,在占位符赋值时进行拼接String sql = "select...
java中如何使用prepareStatement预编译模糊查询!
TangMonk的博客
08-01 845
不适用于模糊查询中的通配符 `%`。占位符只能用于替换具体的值,而不能用于替换SQL语句中的其他结构,如通配符或标识符。正确的做法是将通配符 `%` 放在查询字符串中,并将要查询的部分作为参数传递给PreparedStatement的setString()方法。这样,`PreparedStatement` 就会正确处理模糊查询,将 `%` 符号与参数值连接起来,以进行预期的查询操作。如果你想进行模糊查询,可以将通配符 `%` 直接添加到查询字符串中,而不是使用占位符
MyBatis使用预编译语句
qq_43071699的博客
08-25 635
MyBatis通过多种机制防止SQL注入:默认使用PreparedStatement预编SQL语句,确保参数安全传递;动态SQL中仍保持预编译处理;禁止直接拼接SQL字符串;提供类型处理器对参数进行安全处理;建议使用XML映射文件编写SQL便于审查;同时在应用层应进行输入验证。这些方法共同保障了MyBatis框架的SQL执行安全性,有效防范注入攻击。
Java项目防止SQL注入的四种方案
weixin_44831330的博客
09-23 372
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重
mysqllikesql注入吗_like查询中的SQL注入
weixin_30725113的博客
01-19 2160
看《ibatis in action》,里面提到了使用like进行模糊查询的时候,会有注入漏洞。举例说明如下:Xml代码select*from tbl_schoolwhere school_name like '%$name$%'Java代码public List getSchoolByName(String name) throws DataAccessException {List list ...
Statement和PreparedStatement之间的区别
kinghore的博客
03-18 447
1.PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql
Java-如何避免SQL注入漏洞
了解➔熟悉➔掌握➔精通
01-02 2662
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net 1、简单又有效的方法是使用PreparedStatement 采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX(如:setString)方法传值即可。 好处: (1).代码的可读性和可维护性变好。 (2).PreparedStatement尽最大可能提高性能。 (3).最重要的一点是极大地提高了安全性。 原理: SQL注入只对SQL语句
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值