快捷導(dǎo)航

mybatis框架order by作為參數(shù)傳入時(shí)失效的解決

更新時(shí)間：2021年06月16日 15:15:18 作者：alwaysBrother

這篇文章主要介紹了mybatis框架order by作為參數(shù)傳入時(shí)失效的解決方案，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教

mybatis order by作為參數(shù)傳入失效

mxl中的語(yǔ)句如下

<select id="statToday" resultType="com.dahua.la.business.model.vo.StatSysResultVO">
      select a,
             b,
        count(1) as total
      from table
      where  a is not null
      and b is not null
      and operateTime >= #{startTime,jdbcType=TIMESTAMP}
      and operateTime <= #{endTime,jdbcType=TIMESTAMP}
      group by a, b
   order by
   <foreach collection="orderItems" item="item" separator=",">
      #{item.orderBy} #{item.order}
   </foreach>
</select>

運(yùn)行時(shí)通過(guò)日志打印出sql日志如下

select a, b, count(1) as total 
from table 
where a is not null and b is not null 
and operateTime >= ? and operateTime <= ? 
group by a, b 
order by ? ?

把參數(shù)補(bǔ)充上拿到Navicat執(zhí)行的時(shí)候，完全沒(méi)有問(wèn)題，排序也正常。

但是在代碼里執(zhí)行就是不行, 最后的排序完全沒(méi)有生效。

實(shí)際上，我補(bǔ)上參數(shù)的時(shí)候漏了引號(hào)，因?yàn)?{item.orderBy}會(huì)對(duì)傳入的數(shù)據(jù)加一個(gè)引號(hào)，如果帶著引號(hào)去Navicat執(zhí)行，也是排序不生效的。

問(wèn)題原因找到了

直接替換成使用${item.orderBy}形式，單純的字符串替換不加引號(hào)。

<foreach collection="orderItems" item="item" separator=",">
    ${item.orderBy} ${item.order}
</foreach>

此時(shí)程序正常。

MyBatis排序時(shí)使用order by 動(dòng)態(tài)參數(shù)時(shí)需要注意，用$而不是#

字符串替換

默認(rèn)情況下，使用#{}格式的語(yǔ)法會(huì)導(dǎo)致MyBatis創(chuàng)建預(yù)處理語(yǔ)句屬性并以它為背景設(shè)置安全的值（比如?）。

這樣做很安全，很迅速也是首選做法，有時(shí)你只是想直接在SQL語(yǔ)句中插入一個(gè)不改變的字符串。

比如，像ORDER BY，你可以這樣來(lái)使用：

ORDER BY ${columnName}

這里MyBatis不會(huì)修改或轉(zhuǎn)義字符串。

重要：

接受從用戶(hù)輸出的內(nèi)容并提供給語(yǔ)句中不變的字符串，這樣做是不安全的。

這會(huì)導(dǎo)致潛在的SQL注入攻擊，因此你不應(yīng)該允許用戶(hù)輸入這些字段，或者通常自行轉(zhuǎn)義并檢查。

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

Java StringUtils字符串分割轉(zhuǎn)數(shù)組的實(shí)現(xiàn)
這篇文章主要介紹了Java StringUtils字符串分割轉(zhuǎn)數(shù)組的實(shí)現(xiàn)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2019-09-09
Spring使用event-stream進(jìn)行數(shù)據(jù)推送
這篇文章主要介紹了Spring使用event-stream進(jìn)行數(shù)據(jù)推送,前端使用EventSource方式向后臺(tái)發(fā)送請(qǐng)求,后端接收到之后使用event-stream方式流式返回,文中有相關(guān)的代碼示例供大家參考,需要的朋友可以參考下
2024-03-03
使用Spring實(shí)現(xiàn)@Value注入靜態(tài)字段
這篇文章主要介紹了使用Spring實(shí)現(xiàn)@Value注入靜態(tài)字段方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2024-05-05
解決Intellij IDEA運(yùn)行報(bào)Command line is too long的問(wèn)題
這篇文章主要介紹了解決Intellij IDEA運(yùn)行報(bào)Command line is too long的問(wèn)題,本文通過(guò)兩種方案給大家詳細(xì)介紹，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下
2020-05-05
在springboot項(xiàng)目中同時(shí)接收文件和多個(gè)參數(shù)的方法總結(jié)
在開(kāi)發(fā)接口中,遇到了需要同時(shí)接收文件和多個(gè)參數(shù)的情況,可以有多種方式實(shí)現(xiàn)文件和參數(shù)的同時(shí)接收,文中給大家介紹了兩種實(shí)現(xiàn)方法,感興趣的同學(xué)跟著小編一起來(lái)看看吧
2023-08-08
淺談mybatis如何半自動(dòng)化解耦(推薦)
這篇文章主要介紹了淺談mybatis如何半自動(dòng)化解耦，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2019-06-06
Spring Boot多模塊化后,服務(wù)間調(diào)用的坑及解決
這篇文章主要介紹了Spring Boot多模塊化后,服務(wù)間調(diào)用的坑及解決，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教
2021-06-06
Java中的System.getProperty()詳解
System.getProperty("XXX")方法用來(lái)讀取JVM中的系統(tǒng)屬性,那么java 虛擬機(jī)中的系統(tǒng)屬性使用在運(yùn)行java程序的時(shí)候java -D配置,有兩種方式,一種是在命令行配置另一種是在IDE中配置,本文給大家介紹的非常詳細(xì),感興趣的朋友一起看看吧
2023-09-09
解決idea找不到setting.xml文件的問(wèn)題
這篇文章主要介紹了解決idea找不到setting.xml文件的問(wèn)題，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
2021-02-02
java讀取文件內(nèi)容為string字符串的方法
今天小編就為大家分享一篇java讀取文件內(nèi)容為string字符串的方法，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
2018-07-07