当前位置: 首页> 健康> 美食 > MyBatis巧用1=0,再鸡肋也得用

MyBatis巧用1=0,再鸡肋也得用

时间:2025/7/9 21:56:47来源:https://blog.csdn.net/m0_74381444/article/details/141199917 浏览次数:0次

一、问题导向

今天在实现文件上传数据库测试中,发现了一个略微容易被问题。虽然业务层可以约束空字符串的传入。但是测试DAO数据层时,被同事发现,说我:“为什么不加1=0”。

请看问题。

如果用户账号为空,则有分页输出全部数据库表的隐患。

二、对策

1、在业务层约束account不为空并且不等于 “”。

如果在 account 为空并且"" 时,查询条件不被限制,这可能导致查询结果过于宽泛。查询的安全性和准确性就失效了。在MyBatis的xml文本中的if限制条件就失效了。

2、使用AND 1=0

  • AND 1=0:这是一个总是为假的条件,它会阻止查询返回任何结果。当 account 为空或 "" 时,这个条件会确保查询不会返回数据。

这种方法确保了即使在没有有效 account 的情况下,查询也不会返回所有记录,保持了查询的安全性。

三、代码如下

通过 SQL 语句来处理这种情况。你可以使用 CASE 语句或者添加额外的条件来确保当 account 为空或 "" 时,不返回任何数据。例如:

<select id="selectPngUrlByPage" resultMap="PngUrlMap">SELECT id, url, time, account, state, remarkFROM png_urlWHERE state = #{state}<if test="account != null and account != ''">AND account = #{account}</if><if test="account == null or account == ''">AND 1=0  <!-- 永远不满足的条件 --></if>ORDER BY time DESCLIMIT #{startIndex}, #{pageSize}
</select>

关键字:MyBatis巧用1=0,再鸡肋也得用

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑: