Mybatis order by 动态传参出现的一个小bug

于 2024-07-17 00:27:46 发布
阅读量738 收藏 29
点赞数 9
文章标签: mybatis bug java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85358096/article/details/140480523
版权

如下所示,吴老二就到顶了。

用户相关数据置顶置顶

那Mybatis脚本怎么写呢?

就这么写👇🏻

select * from user t

order by t.login_name=#{req.currentUser} desc

OK,需求完成,测试,摸……

嗯,出bug了……

问题现场

======================================================================

定晴一看控制台,报错了。

报错

最关键的一行:

java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).

问题分析

======================================================================

问题很简单,随手一查,原因是:

  • #{}传过来的参数带单引号

#{}采用预编译机制,是占位符,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

这种方式,order by 最后的sql会多加单引号 ’ 。

那怎么解决呢?

可以用 ${}${}是拼接符,直接字符串替换。

select * from user t

order by t.login_name=${req.currentUser} desc

我不想用${}这种方式,因为有sql注入的风险,那该怎么办呢?

好吧,其实主要是这种方式也报错了😓。

java.sql.SQLSyntaxErrorException: Unknown column ‘wulaoer’ in ‘order clause’

我们平时模糊查询怎么写呢?

——使用CONCAT()函数来拼接keyword。

以此类推,那我用一个函数来去掉'不就行了。

那用一个什么函数呢?

——REPLACE

所以写法就变成了这样:

select * from user t

order by t.login_name=REPLACE(#{req.currentUser},‘’‘,’') desc

问题解决

======================================================================

OK,最终问题解决。

总结

互联网大厂比较喜欢的人才特点:对技术有热情,强硬的技术基础实力;主动,善于团队协作,善于总结思考。无论是哪家公司,都很重视高并发高可用技术,重视基础,所以千万别小看任何知识。面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。其实我写了这么多,只是我自己的总结,并不一定适用于所有人,相信经过一些面试,大家都会有这些感触。

**另外本人还整理收藏了2021年多家公司面试知识点以及各种技术点整理 **

下面有部分截图希望能对大家有所帮助。

在这里插入图片描述
不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。其实我写了这么多,只是我自己的总结,并不一定适用于所有人,相信经过一些面试,大家都会有这些感触。

**另外本人还整理收藏了2021年多家公司面试知识点以及各种技术点整理 **

下面有部分截图希望能对大家有所帮助。

[外链图片转存中…(img-gS0LDPiF-1721147256810)]

2401_85358096
关注
  • 9
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020,8种必备Selenium编写自动化用例的技巧
Chaqian的博客
06-09 484
在开始自动化时,您可能会遇到各种可能包含在自动化代码中的方法,技术,框架和工具。有时,与提供更好的灵活性或解决问题的更好方法相比,这种多功能性导致代码更加复杂。在编写自动化代码时,重要的是我们能够清楚地描述自动化测试的目标以及我们如何实现它。话虽如此,编写“干净的代码”以提供更好的可维护性和可读性很重要。编写干净的代码也不是一件容易的事,您需要牢记许多最佳实践。以下主题突出显示了编写更好的自动化代码应获得的8条银线。 1.命名约定 当我们从手动转向自动化或实际上以任何编程语言编写代码时,这确实是要牢记的经验
Mybatis动态传参、日志记录、二级缓存.docx
04-25
Mybatis一个基于 Java 的持久层框架,它提供了动态传参、二级缓存和日志记录等功能。本文将对 Mybatis动态传参、日志记录和二级缓存进行详细介绍。 一、Mybatis 动态传参 Mybatis 提供了多种方式来实现动态...
MyBatis排序时使用order by 动态参数
06-03 5558
我的表,通过product_price来排序,规则入 mapper接口 List<Product> selectProductByOrder(@Param("order") String order); mapper配置 <select id="selectProduct...
mybatis动态order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动入的数据加
Javamybatis动态order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 2799
mybatis动态order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
mybatis动态sql.zip
04-28
mybatis动态sql,动态sql解析引擎,类似mybatis动态sql的功能。 mybatis动态sql,动态sql解析引擎,类似mybatis动态sql的功能。mybatis动态sql,动态sql解析引擎,类似mybatis动态sql的功能。mybatis动态sql,...
Mybatis动态调用表名和字段名的解决方法
09-01
Mybatis作为一个强大的ORM框架,其动态SQL功能在处理复杂业务逻辑时显得尤为关键。在某些场景下,如根据用户权限动态限制查询特定表的特定字段,就需要动态地构造SQL语句。本文将深入探讨如何在Mybatis中实现动态...
mybatis 动态sql及参数
12-14
目录 使用场景 动态标签 if标签 where标签 choose、when、otherwise 标签 ...if标签通常用那个胡where语句,update语句,insert语句中,通过判断参数值来决定是否使用某个查询条件,判断是否更新某一个字段或插入某个字段
MyBatis 动态 SQL 示例
最新发布
04-28
附件是MyBatis 动态 SQL 示例,MyBatis一个持久层框架,它允许用户在 XML 文件中编写动态 SQL 语句。MyBatis动态 SQL 功能非常强大,它允许开发者根据运行时的条件动态地生成 SQL 语句。这使得 MyBatis 能够...
Mybatis动态SQL进行order by
C2667378040的博客
10-28 3413
原SQL 修改后 感谢:https://www.cnblogs.com/sxdcgaq8080/p/9848016.html
mybatis字符串条件判断 - 动态 order by 条件
johntsu的专栏
06-08 1万+
    在做电商类项目,例如淘宝,其app中的商品列表页面中,会有几个排序条件,例如价格、销量等。就像下面这个样子如果用户点击“价格”,就是按照价格由低到高排序。    如果我们只使用同一个接口来处理商品列表数据的检索,那么mybatis中的sql,其order by就必须根据用户点选的“价格”、“销量”等条件进行排序。也就是说,order by 必须要做成活的,不能写死。    这里我们假设上面...
MyBatisMyBatis Order By 字段动态动态排序
九师兄
12-16 1589
我想根据某个字段排序,但是却不想一个一个的写,希望传参,知道怎么传参 orderBy的字段和排序方式吗?我这样递,不报错 但是没有排序,写死的那种能排序后来才知道要改成但是字段你要限制,防止sql注入【Mybatis】#{}与${}区别、传参作为字段/表名。
mybatis动态order by 排序问题
weixin_43996353的博客
02-23 2186
问题 sql查询需要根据条件动态修改排序字段以及升降序; 刚开始尝试在sql中直接使用choose when进行判断: <choose> <when test="flag== '5'"> order by A_DATE desc </when> <otherwise> order by B_DATE asc </otherwise>
Mybatis中使用动态标签实现order by多字段排序
godkzz的博客
12-10 4917
Mybatis中使用动态标签实现order by多字段排序
mybatis的映射xml中动态设置orderby
左直拳的马桶_日用桶
08-20 3982
mybatis的dao xml中,根据参数值设置不同的order by字段。 dao java List<DzRainDetail> queryDetail(@Param("masterId") int masterId, @Param("country") String country, @Param("sort") String sort); 第三个参数“sort”用于决定如何写这个order by。 dao XML <select id="queryDetail" result
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#, #{}和${}的区别以及order by注入问题
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}过来的参数带单引号''
mybatis动态SQL如何传参
07-20
Mybatis动态SQL可以通过使用参数注解或者Map来参数。下面是两种常用的传参方式: 1. 使用参数注解: 在mapper的方法中,可以使用`@Param`注解来指定参数的名称,然后在SQL语句中引用该参数名。例如: ```java public interface UserMapper { List<User> getUserList(@Param("name") String name, @Param("age") int age); } ``` 在XML配置文件中,可以使用`${}`占位符来引用参数,如下所示: ```xml <select id="getUserList" resultType="User"> SELECT * FROM user WHERE name = #{name} AND age = #{age} </select> ``` 2. 使用Map参数: 在mapper的方法中,可以直接使用Map类型的参数,将多个参数封装到Map中。例如: ```java public interface UserMapper { List<User> getUserList(Map<String, Object> params); } ``` 在XML配置文件中,可以使用Map的key来引用参数,如下所示: ```xml <select id="getUserList" resultType="User"> SELECT * FROM user WHERE name = #{name} AND age = #{age} </select> ``` 以上是常见的两种传参方式,你可以根据实际需求选择适合的方式来参数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值