Mybatis动态传入order by

最新推荐文章于 2024-04-19 05:45:23 发布
最新推荐文章于 2024-04-19 05:45:23 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: MyBatis 文章标签: mybatis的order by参数问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ClearLoveQ/article/details/98314496
版权

当Mybatis的mapper文件传入的order by 为动态参数说的时候发现排序无法生效:

像下面这样,在choose when中的order by后的参数是用预编译的方式,用的是#号,这样是可以防止sql注入的问题,但是在传入order by参数的时候无法解析:

	<select id="feescaleList" resultType="com.hasagei.modules.mebespoke.entity.HasageiMeBespoke" parameterType="com.hasagei.modules.mebespoke.entity.HasageiMeBespoke">
		SELECT
		A.ID AS id,
		TO_CHAR(A.BESPOKE_DATE,'yyyy-mm-dd') AS bsepokeDate,
		A.USER_ID AS	userId,
		A.BESPOKE_DATE AS	bespokeDate,
		A.BESPOKE_STATUS	bespokeStatus,
		A.PROJECT_ID AS	projectId,
		A.PERIOD_START AS 	periodStart,
		A.PERIOD_END AS	periodEnd,
		A.FEESCALE_MONEY AS feescaleMoney,
		A.FEESCALE_NAME AS feescaleName,
		A.PAYMENT_TIME AS paymentTime,
		A.PAYMENT_MONEY AS paymentMoney,
		B.IDENTITY_CARD AS identityCard,
		B.REALNAME AS realname,
		B.SJ AS sj,
		B.GZZH AS   gzzh,
		B.PHOTOELECTRIC_CARD AS photoelectricCard,
		B.SEX AS sex,
		B.BIRTH_DATE AS  birthDate,
		B.STUDENT_ID AS  studentId,
		B.EXAMINE_NUMBER AS  examineNumber,
		B.DEPARTMENT AS  department,
		B.FACULTY AS  faculty,
		C.MEC_NAME AS mecName
		FROM
		TSINGHUA_ME_BESPOKE A LEFT JOIN TSINGHUA_USERINFO B ON A.USER_ID=B.ID
		LEFT JOIN MEC_ITEM C ON A.PROJECT_ID=C.MEC_NUMBER
		WHERE 1=1
		<if test='bespokeDateGteJ != null and bespokeDateLteJ != null '>
			<if test='bespokeDateLteJ != "" and bespokeDateLteJ != ""'>
				AND A.PAYMENT_TIME <![CDATA[<=]]> to_date(#{bespokeDateLteJ,jdbcType=DATE},'yyyy-MM-dd HH24:MI:SS')
				AND A.PAYMENT_TIME <![CDATA[>=]]> to_date(#{bespokeDateGteJ,jdbcType=DATE},'yyyy-MM-dd HH24:MI:SS')
			</if>
		</if>
		<choose>
			<when test='orderByFiled!=null and orderByFiled!="" and orderBySe!=null and orderBySe!=""'>
				ORDER BY #{orderByFiled}  #{orderBySe}
			</when>
			<otherwise>
				ORDER BY A.PAYMENT_TIME DESC
			</otherwise>
		</choose>
	</select>

最简单的解决办法是将#换为$,但是这样会有sql注入的问题

ClearLoveQ
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
mybatis——mapper文件详解
2401_84412895的博客
04-19 1100
面试是跳槽涨薪最直接有效的方式,马上金九银十来了,各位做好面试造飞机,工作拧螺丝的准备了吗?掌握了这些知识点,面试时在候选人中又可以夺目不少,暴击9999点。机会都是留给有准备的人,只有充足的准备,才可能让自己可以在候选人中脱颖而出。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
easyui通过Mybatis-Plus实现动态字段排序
沐雨橙风ιε的博客
10-31 6065
利用周末时间,对自己的项目进行了升级,原来使用的是tkmybatis,改为mybatis-plus。但是返回数据的格式变了,导致前端的客户端排序失效了,于是决定在服务端实现排序。easyui的数据表格datagrid支持多字段排序,可以控制是否通过服务器排序,核心代码如下。
MybatisOrder By排序
热门推荐
凤凰涅槃
11-12 4万+
利用Mybatis逆向自动生成,—Example.java,—Mapper.xml文件。 一、—Mapper.xml文件,一个自动生成的查询方法,我们可以看到有order by排序语句。 二、所以我们在逻辑层可以将排序条件加上,以以下例子为例,这里我是按审核状态升序查询。只需要我们在Controller加上example.setOrderByClause(" card_sts ASC");如果你...
mybatis中mapper.xml文件常用属性及标签
某某灬
01-02 1万+
Mybatis中mapper.xml常用属性及标签${}和#{}的区别常见的属性常见标签&amp;lt; sql &amp;gt;标签&amp;lt; where &amp;gt;和&amp;lt; if &amp;gt;标签&amp;lt; set &amp;gt;标签&amp;lt; trim&amp;gt;标签示例1:示例2:&amp;lt; choose &amp;gt;标签 ${}和#{}的区别 #
关于Java中order by注入详解
m0_60571990的博客
03-17 1293
关于Java中order by注入详解
mybatis动态sql之Map参数的讲解
08-26
=''"> and purc_time=#{purc_time} order by #{purc_time} desc ``` 在上面的示例中,我们定义了一个SELECT语句,参数类型为Map。Map参数可以包含多个键值对,例如purc_id、prod_id、ch_id等。在SQL语句中,我们...
Mybatis防止sql注入的实例
08-30
然而,在mybatis中,也不是所有的参数都可以使用#{xxx}这样的格式,例如涉及到动态表名和列名时,只能使用${xxx}这样的参数格式,这样的参数需要我们在代码中手工进行处理来防止注入。例如:”map”> select id,...
Mybatis现学现用
12-16
MyBatis排序时使用order by 动态参数时需要注意,用$而不是# 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,...
mybatis 模糊查询的实现方法
12-16
例如,`order by #user_id#`,如果传入的值是111,解析后的SQL将是`order by '111'`;如果传入的是'id',则解析为`order by 'id'`。这种方式能够有效地防止SQL注入攻击,因为数据库会预先处理这些参数,不会执行任何...
MyBatis 3 _ SQL 语句构建器1
08-03
在 `selectPersonSql()` 方法中,可以看到这种风格的使用,它将原始的 SQL 语句拆分成各个部分,如 SELECT、FROM、INNER_JOIN、WHERE、GROUP_BY、HAVING 和 ORDER_BY,每个部分都对应一个方法调用,使得代码更清晰...
Mybatis动态order by 传参#和$的区别
qq_44739966的博客
11-11 725
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
mybatis动态sql
学海无涯,我用JAVA
10-13 890
mybatis是我从工作以来一直用的一个持久层框架,由于在xml中可以清晰的看到sql,这样很易于其他人看懂,这个优势我觉得是一直被认可的一个重要原因.其次,mybatis的结果集封装也是很给力,可以让一些需要逻辑整合的结果集通过一次查询,从而完美封装,得到想要的结果集. 废话不多说,直接上代码 <select id="selectListByQuery" resultType="com.j...
Mybatis xml orderby 排序字段问题
weixin_45817985的博客
10-21 2461
Mybatis xml orderby 排序字段问题
MyBatis Plus 如何实现动态排序@杨章隐
杨章隐的博客
12-25 2712
MyBatis Plus 、MyBatis 实现动态排序
[MyBatis]Mapper在order by中使用$的情况
喜欢前端的后端 MelodyJerry
02-27 3284
问题描述 MyBatis项目种,在测试接口是发现,返回的json数据不能按照传入参数"sortBy": "id"进行order by id排序,当时返回的json数据如下图: 解决 发现该问题时,我最先是将sortBy": "id"改为sortBy": "sales_history.id"。 但是,没有用! 第二次将sortBy": "sales_history.id"改为sortBy": "",再测试 这次出现了如期的升序结果。 这是为什么呢? 回去检查一下这句order by #{sort},现
解决mybatis动态传入order by 参数的时候不生效的问题
qq_29062045的博客
02-08 1079
http://blog.csdn.net/u012685794/article/details/52022417解决mybatis动态传入order by 参数的时候不生效的问题字符串替换默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER...
MyBatis-Plus 关于orderBy()参数问题以及mysql不按中文首字母排序
要努力成为一名优秀的软件工程师!
03-07 1万+
MyBatis-Plus 关于orderBy()参数问题以及mysql不按中文首字母排序。
多层order by 怎么写mybatis动态sql
最新发布
06-07
MyBatis中,如果你想编写动态SQL以支持多层的ORDER BY子句,你可以使用`<if>`标签和字符串拼接来构建动态的SQL语句。以下是一个例子,假设你有一个方法,需要根据用户提供的排序字段和顺序(升序或降序)进行动态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值