Mybatis order by 動態(tài)傳參出現(xiàn)的問題及解決方法

更新時間：2021年07月25日 08:37:44 作者：三分惡

今天，我正在愉快地CRUD，突然發(fā)現(xiàn)出現(xiàn)一個Bug，我們來看看是怎么回事吧！接下來通過本文給大家介紹Mybatis order by 動態(tài)傳參出現(xiàn)的一個小bug,需要的朋友可以參考下

問題由來

一個簡單的需求，要求把和當前用戶相關的數(shù)據(jù)置頂展示。

這里，我用了一個簡單的用戶表來復現(xiàn)這個需求。

很簡單，查詢語句后面加上：order by t.login_name='wulaoer' desc 就行了。

如下所示，吳老二就到頂了。

那Mybatis腳本怎么寫呢？

就這么寫👇🏻

<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=#{req.currentUser} desc
    </select>

OK，需求完成，測試，摸……

嗯，出bug了……

問題現(xiàn)場

定晴一看控制臺，報錯了。

最關鍵的一行：

java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).

問題分析

問題很簡單，隨手一查，原因是：

#{}傳過來的參數(shù)帶單引號

#{}采用預編譯機制，是占位符，#{}傳入?yún)?shù)是以字符串傳入，會將SQL中的#{}替換為?號，調(diào)用PreparedStatement的set方法來賦值。

這種方式，order by 最后的sql會多加單引號 ' 。

那怎么解決呢？

可以用 ${}。${}是拼接符，直接字符串替換。

 <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=${req.currentUser} desc
    </select>

我不想用${}這種方式，因為有sql注入的風險，那該怎么辦呢？

好吧，其實主要是這種方式也報錯了😓。

java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'

我們平時模糊查詢怎么寫呢？

——使用CONCAT()函數(shù)來拼接keyword。

以此類推，那我用一個函數(shù)來去掉'不就行了。

那用一個什么函數(shù)呢？

——REPLACE

所以寫法就變成了這樣：

 <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
    </select>

問題解決

OK，最終問題解決。

<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
    </select>

上去吧，吳老二！

問題比較簡單，處理起來也是三下五除二，但是分析的過程還有點意思，所以發(fā)出來給大家瞧瞧。

到此這篇關于Mybatis order by 動態(tài)傳參出現(xiàn)的一個小bug的文章就介紹到這了,更多相關Mybatis order by 動態(tài)傳參出現(xiàn)的一個小bug內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: