Q&A【問題】
Springでページネーションを踏まえた検索機能を作成しています。
文字列「%」「」の記号を検索ボックスに入れた時、
「%」「」で検索されず、全件検索結果が取得されてます。
恐らくエスケープ文字と識別されている事が原因だと思っていますが、
どのようにコードを訂正すれば良いかわかりません。
どなたかご教示をお願いいたします。
【進捗状況】
・JPAを使用してDBからデータ取得を行っており、問題のエスケープ文字以外は問題なく表示できます
・ページネーションのコーディングも終わっており、最終検証の段階で【問題】を発見いたしました
【使用言語/ツール】
・Java
・MYSQL
・Spring Boot
・STS(spring tools site)
【ソースコード】
参考コード
・TaskController(Controller)
・TaskRepository(Repository)
※参考コードは回答に応じて追加します
TaskController(Controller)
java
1@Service 2@Transactional 3public class TaskService { 4 5 @Autowired 6 private TaskRepository taskrepository; 7 @Autowired 8 private TaskSpecification taskspecification; 9 10 public Page<TaskEntity> searchmaterial(String title, String titleKana,Pageable pageable) { 11 return (Page<TaskEntity>) taskrepository.findAll(Specification 12 .where(taskspecification.titleContains(title)) 13 .and(taskspecification.titleKanaContains(titleKana)) 14 ,pageable 15 ); 16 } 17}
TaskRepository(Repository)
java
1@Repository 2public interface TaskRepository extends JpaRepository<TaskEntity,Long>, JpaSpecificationExecutor<TaskEntity>{ 3 4 Page<TaskEntity> findByTitleAndTitleKana(String title, String titleKana, Pageable pageable); 5 6 7}
回答2件
0
★★★ 注意 ★★★
xebme さんのご指摘にある通り、ユーザー入力に「%」、「_」を許すことは、SQL インジェクションの危険性があります。以下のリンクが適切かどうか、精査できていませんが、参考になれば幸いです。
「とにかくプレイスホルダを使おう」では脆弱性は無くなりません。
以下、そういった危険性を承知の上、かつ、外部に公開しないような限定されたところで利用したいというニーズに対する回答とご理解ください。
【最初の回答】
メソッド名が LIKE 検索用になっていないような気が。
【Spring Data JPA】自動実装されるメソッドの命名ルール - Qiitaあたりとか、参考にならないでしょうか。
【追記】
TaskService が呼び出しているのが、taskrepository.findAll() なので TaskRepository で追加で定義したメソッドが使われるように修正する必要がありそうです。
【追記その2】
しかし、冒頭でアドバイスを頂いた「TaskRepository で追加で定義したメソッドが使われるように修正する必要がありそう」に関して、taskrepository.findAll() をどのように変更すれば良いかがわかりません。
以下、動作確認はしていませんが。以下のように直した場合の動作を確認してみてください。
java
1@Service 2@Transactional 3public class TaskService { 4 5 @Autowired 6 private TaskRepository taskrepository; 7 @Autowired 8 private TaskSpecification taskspecification; 9 10 public Page<TaskEntity> searchmaterial(String title, String titleKana,Pageable pageable) { 11 return taskrepository.findByTitleAndTitleKana(title, titleKana, pageable); 12 } 13}
ただし、この修正だとこれまでの「%」、「_」を使わない入力における部分一致検索が使えません。
xebme さんが
さらに、検索条件を調べて、%_があればLIKE検索、なければ通常検索にしなければならず、ここにも設計不備があると思われます。
と書かれている通り、条件分岐が必要になると思います。
投稿2020/08/26 13:14
編集2020/08/27 19:19
総合スコア1773
0
自己解決
Yasumichiさん
xebmeさん
ご丁寧にご回答ありがとうございます。
頂いた内容通り訂正を試みましたが、org.apache.commons.lang3.StringUtils を使用して解決できるようでしたので、StringUtils でエスケープ文字「%」「_」をリプレースする事により、問題を解決いたしました。
本当にありがとうございました。
投稿2020/08/29 03:15
総合スコア29
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/08/26 16:30
2020/08/26 18:58
2020/08/26 22:54
2020/08/27 01:54
2020/08/29 03:16