Java案例如何实现模糊查询?从基础到实战的完整指南
目录导读
- 什么是模糊查询?为什么Java开发中必须掌握?
- JDBC实现模糊查询的三种核心方式(含代码示例)
- MyBatis框架中的模糊查询最佳实践(like、CONCAT、bind)
- Spring Data JPA的模糊查询:Specification与@Query注解
- 性能优化:索引、通配符位置与SQL注入防范
- 实战案例:员工管理系统中的名字和部门模糊搜索
- 常见问题问答(FAQ)
什么是模糊查询?为什么Java开发中必须掌握?
模糊查询(Fuzzy Query)是指通过部分关键词匹配数据库中包含该关键词的记录,例如输入“张”即可查出所有姓“张”的员工,在Java Web开发中,模糊查询是搜索功能的核心,涉及SQL的LIKE关键字。
重要性: 用户通常不记得完整名称,模糊查询能提升搜索体验,但如果不正确处理,容易引发SQL注入或性能低下,本文将带你从原生JDBC到主流框架,彻底掌握实现方式。
JDBC实现模糊查询的三种核心方式
方式1:字符串拼接(不推荐,有注入风险)
String keyword = "张"; String sql = "SELECT * FROM employee WHERE name LIKE '%" + keyword + "%'";
问题:若keyword包含或,会破坏SQL结构,例如输入' OR '1'='1,将爆出所有数据。
方式2:PreparedStatement占位符(推荐)
String sql = "SELECT * FROM employee WHERE name LIKE ?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setString(1, "%" + keyword + "%"); ResultSet rs = ps.executeQuery();
优点:预编译防注入,且性能更优。
方式3:使用CONCAT函数(数据库通用)
String sql = "SELECT * FROM employee WHERE name LIKE CONCAT('%', ?, '%')";
适用于MySQL,可读性更好,且兼容不同数据库方言。
MyBatis框架中的模糊查询最佳实践
使用<bind>标签(最推荐,灵活防注入)
<select id="searchByName" resultType="Employee">
<bind name="pattern" value="'%' + name + '%'" />
SELECT * FROM employee WHERE name LIKE #{pattern}
</select>
使用拼接(谨慎使用,仅用于固定值)
<select id="searchByName" resultType="Employee">
SELECT * FROM employee WHERE name LIKE '%${name}%'
</select>
注意:直接替换字符串,不防注入,只用于参数确定安全的情况(如从枚举取值)。
直接在Java代码中拼接(最直观)
String keyword = request.getParameter("keyword");
List<Employee> list = employeeMapper.searchByName("%" + keyword + "%");
最佳实践:结合<bind>和,兼顾可读性与安全性。
Spring Data JPA的模糊查询
方式1:@Query注解 + like
@Query("SELECT e FROM Employee e WHERE e.name LIKE %:name%")
List<Employee> searchByName(@Param("name") String name);
注意:放在参数里或注解内均可,但需防止NPE。
方式2:Specification动态查询
public List<Employee> search(String keyword) {
Specification<Employee> spec = (root, query, cb) -> {
if (keyword == null) return null;
return cb.like(root.get("name"), "%" + keyword + "%");
};
return employeeRepository.findAll(spec);
}
适合多条件组合查询。
方式3:Query By Example(QBE)
Employee example = new Employee();
example.setName("张");
ExampleMatcher matcher = ExampleMatcher.matching()
.withStringMatcher(ExampleMatcher.StringMatcher.CONTAINING);
List<Employee> list = repository.findAll(Example.of(example, matcher));
代码最简洁,但灵活性较低。
性能优化与SQL注入防范
索引优化
- 模糊查询
LIKE '%keyword%'无法使用索引(除非数据库支持反向索引)。 - 若必须为前缀查询(如
'张%'),请创建INDEX(name)。 - 考虑使用Elasticsearch或MySQL全文索引替代
LIKE。
通配符位置影响性能
'%keyword'(后缀通配)可以走索引(如果列定义合理)。'%keyword%'(全通配)走全表扫描,大数据量时需限流或分页。
防止SQL注入
- 绝对禁止字符串拼接,使用(MyBatis)或
setString(JDBC)。 - 对用户输入做白名单过滤(如去掉特殊字符、等)。
实战案例:员工管理系统的模糊搜索
需求
支持按“姓名”、“部门”任意一个字段模糊搜索,且两个条件可同时使用。
MyBatis Mapper实现
<select id="search" resultType="Employee">
SELECT * FROM employee
<where>
<if test="name != null and name != ''">
AND name LIKE CONCAT('%', #{name}, '%')
</if>
<if test="dept != null and dept != ''">
AND department LIKE CONCAT('%', #{dept}, '%')
</if>
</where>
</select>
Service层
public List<Employee> search(String name, String dept, int page, int size) {
// 这里可以加参数校验,如去除%符号避免用户输入恶意通配符
name = sanitizeKeyword(name);
dept = sanitizeKeyword(dept);
return employeeMapper.search(name, dept, (page-1)*size, size);
}
前端效果
用户输入“张”点击搜索,即可看到所有名字含“张”的员工,并可继续输入“技术部”缩小范围。
常见问题问答(FAQ)
Q1:模糊查询时,用户输入了特殊字符(如%、_)怎么办?
A:需要对用户输入进行转义,MySQL中使用ESCAPE关键字,如LIKE '%\_%' ESCAPE '\',在Java中可用String.replace("%", "\\%"),但更推荐限制用户只能输入字母和数字。
Q2:MyBatis的<bind>和直接在Service层拼接,哪个更好?
A:<bind>更好,它将SQL构造逻辑保留在Mapper中,符合分层原则,Service层只负责业务参数处理。
Q3:模糊查询如何做分页?
A:使用LIMIT offset, size(MySQL)或ROWNUM(Oracle),注意先执行COUNT查询总数,再执行分页查询。
Q4:为什么LIKE '%keyword%'很慢,如何加速?
A:因为无法使用索引,可选方案:改用全文索引(MySQL的FULLTEXT)、使用搜索引擎(如Elasticsearch)、对数据进行适当冗余(如将常用字段索引为前缀匹配)。
Q5:Spring Data JPA中,@Query写like时,参数带%会不会注入?
A:不会,JPQL的param是参数化,防注入,但%本身是合法字符,若用户输入“%”会导致查询所有记录,建议在Service层过滤。
通过本文,你应该能掌握从JDBC到Spring全家桶中实现安全、高效的模糊查询,实际开发中,务必优先考虑防注入和索引优化,并针对业务场景选择最合适的框架方式。
