2. 程式人生 > >Dao層寫資料庫語句使用IN遇到的問題

Dao層寫資料庫語句使用IN遇到的問題

阿新 發佈:2019-02-17 
Dao層語句如下:
@Select("SELECT COUNT( * ) FROM (( `comp` `c` LEFT JOIN `comp_value` `cv` ON ( ( `c`.`comp_id` = `cv`.`comp_id` ) ) )" +
"LEFT JOIN `listing` `l` ON ( ( `cv`.`listing_no` = `l`.`listing_no` ) ) ) " +
"WHERE( `c`.`comp_id` IN ( SELECT `comp_id` FROM `job_comp` WHERE job_comp.job_id IN (${jobIds}
 
)))")
int countCompListing2(@Param("jobIds") String jobIds);

(jobIds是一個用“,”分隔的字串)

標紅的位置,如果使用正常的傳參形式#{jobIds}會只取字串中第一個數字,後面的都不會取到,所以使用了"$"這種格式,查到用美元符號會容易導致sql注入攻擊問題,暫時還不太明白會怎麼攻擊,以後有好的辦法再進行修改

相關推薦

Dao資料庫語句使用IN遇到的問題

Dao層語句如下: @Select("SELECT COUNT( * ) FROM (( `comp` `c` LEFT JOIN `comp_value` `cv` ON ( ( `c`.`comp_id` = `cv`.`comp_id` ) ) )" + "LEFT J

logback,slfj 列印dao操作資料庫語句

在logback.xml 加上 <logger name="com.*.dao" level="DEBUG"> <appender-ref ref="STDOUT" /> &

基於java的收藏排行功能之五:Dao資料庫的操作&資料表設計

接上一篇 11:dao介面 package cn.itcast.travel.dao; import cn.itcast.travel.domain.Route; import java.util.List; public interface RouteDao { public

前臺頁面查詢引數多的話,建議將其封裝成querybean傳到DAO,在DAO構建SQL語句:例子

  public List<UserFormBean> getAllUserInfo(UserFormBean userFormBean)  {   StringBuffer sql = new StringBuffer("select USERID,USERN

【Mybatis】使用Mybatis的原始Dao進行資料庫的連線

1、原始Dao開發方法需要程式設計師編寫Dao介面和Dao實現類。2、編寫對映檔案<?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Map

java mysql多次事務 模擬依據匯率轉賬,並存儲轉賬信息 分層完成 dao service client 連接池使用C3p0 入庫使用DBUtils

dao AI state rom thread dbutils nbsp jar包 fig Jar包使用,及層的劃分 c3p0-config.xml <?xml version="1.0" encoding="UTF-8"?> <c3p0-conf

JDBC資料庫連線池連線資料庫資料庫操作DAO設計通用更新及查詢方法(二)

上篇文章主要介紹了通過資料庫連線池連線資料庫,然後設計了對資料庫通用更新和查詢方法,本篇文章主要通過例項介紹上篇文章定義的對資料庫操作的幾個方法的使用:     首先我們先在資料庫建立一個學生資訊表Student欄位如圖: 建立好表將配置檔案的資訊改好然後需要建立一

JDBC資料庫連線池連線資料庫資料庫操作DAO設計通用更新及查詢方法(一)

該篇文章介紹了資料庫連線池獲取資料庫連線以及資料庫操作的基本使用,然後主要提供了java專案案例中dao層的一種設計,利用反射的原理定義了通用的查詢方法可以對應所有的表和例項。文章中的每段程式碼都提供了詳細的註釋及邏輯步驟 首先匯入資料庫連線的所需要的jar包:    

[Spinr+MyBatis配置]為什麼可以DAO介面,不用實現類

以下內容來源:https://www.cnblogs.com/soundcode/p/6497291.html,本文只做記錄。 根據網上的一些知識點,講一下原理: mybatis通過JDK的動態代理方式,在啟動載入配置檔案時,根據配置mapper的xml去生成Dao的實現。 sessio

設定storage模組的資料庫操作支援、新增倉儲分類列表介面(dao

一、在storage模組的pom檔案中加入jdbc,mybatis,mysql依賴 二、在yml檔案中加入datasource資料庫連線的四個屬性  三、在啟動類的包下新建controller,service,serviceImpl,dao,entity包並建好對應4個表的四組類

Dao定義執行SQL語句的方法

  @Repository public class QsPatientCodeDaoImpl extends HibernateBaseImpl<QsPatientCodePO> implements QsPatientCodeDao { @Resource(

從零一個Java WEB框架(三)Dao優化

該系列,其實是對《架構探險》這本書的實踐。本人想記錄自己的學習心得所寫下的。 從一個簡單的Servlet專案開始起步。對每一層進行優化,然後形成一個輕量級的框架。 每一篇,都是針對專案的不足點進行優化的。 專案已放上github

資料庫分頁查詢(非DAO框架所支援查詢)

oracle資料庫: SELECT * FROM (SELECT ROWNUM AS rowno, t.* FROM emp t WHERE hire_date BETWEEN TO_DATE ('20060501', 'yyyymmdd'

Dao+sql語句

1.Dao層 public class Dao { private Mysql mysql; private SQLiteDatabase database; public Dao(Context context){ mysql = new Mysql(context);

資料庫Dao

package com.example.week3_1.dao; import android.content.ContentValues; import android.content.Context; import android.database.Cursor; import an

DAO介面,為什麼能操作資料庫

public interface TestDAO { Test selectById(Integer id); } 一、問題:   如上程式碼所示,為什麼呼叫TestMapper的selectByPrimaryKey方法,就能從資料庫中讀取資料?TestMappe

怎樣SQL語句可以提高資料庫的效能

  1、首先要搞明白什麼叫執行計劃?   執行計劃是資料庫根據SQL語句和相關表的統計資訊作出的一個查詢方案,這個方案是由查詢優化器自動分析產生的,比如一條SQL語句如果用來從一個10萬條記錄的表中查1條記錄,那查詢優化器會選擇“索引查詢”方式,如果該表進行了歸檔,當前只剩下

框架學習(1)——servicedao和service實現類進行資料庫操作

最近也是比較忙,也只能忙裡偷閒地抓緊時間接著學習一下技術,自從上次學習了maven之後,越來越對框架產生了興趣,下了好多的spring視屏,聽著老師的建議,最近也萌生了看別人的程式碼進行學習的想法,然後就上了知乎搜了搜優秀的java框架,發現了一個比較感興趣的,

資料庫select in語句怎麼優化

SELECT COUNT(*) FROM receivefax t WHERE t.fax_number IN (SELECT td.telephone FROM tmp_duanxin_ljx_20100402 td) 怎麼能優化下,表t資料量近4000萬 表td資料量3

一個專案中說系統分為表現、控制、邏輯DAO和最終資料庫架構

PO(persistant object) 持久物件  在o/r對映的時候出現的概念,如果沒有o/r對映,沒有這個概念存在了。通常對應資料模型(資料庫),本身還有部分業務邏輯的處理。可以看成是與資料庫中的表相對映的java物件。最簡單的PO就是對應資料庫中某個表中的一條記錄,多個記錄可以用PO的集合。PO中