order by #{var} 与 order by var( #{} 与 ${} 的区别 )

已于 2023-09-14 10:13:39 修改
阅读量153 收藏
点赞数
文章标签: java mybatis
于 2023-09-14 10:12:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HF0705/article/details/132870429
版权

群里有个小伙伴问了个我觉得很有意思的问题,在此记录下

问:order by #{date}与order by date有什么区别

理解:

#{}为占位符,比如你date这个变量值为 name desc 那么打印的sql就是 order by name desc
${}为拼接字符串,比如你date这个变量值为 name desc 那么打印的sql就是 order by "name desc",sql执行报错(错误的理解)
order by date 就是根据date这个字段排序

demo测试:

使用#{}     
	@Override
    public List<ExcelUser> selectUser(String var) {
        return userMapper.selectUser("name desc");
    }

    <select id="selectUser" resultType="com.excel.model.ExcelUser">
     select * from test_excel order by #{var}
    </select>
        
SQL打印:
        Preparing: select * from test_excel order by ? 
        Parameters: name desc(String)
        Total: 4
结果:
        执行成功
            
            
使用${}            
    @Override
    public List<ExcelUser> selectUser(String var) {
        return userMapper.selectUser("name desc");
    }

    <select id="selectUser" resultType="com.excel.model.ExcelUser">
     select * from test_excel order by #{var}
    </select> 
     
SQL打印:
        Preparing: select * from test_excel order by name desc 
        Parameters: 
		Total: 4
结果:
        执行成功
            
var为一个具体的值   
	@Override
    public List<ExcelUser> selectUser(String var) {
        return userMapper.selectUser("2021001");
    }

    <select id="selectUser" resultType="com.excel.model.ExcelUser">
     select * from test_excel order by #{var}
    </select>
        
报错信息:
        java.sql.SQLSyntaxErrorException: Unknown column '2021001' in 'order clause'
        未知列:'2021001'
原因:
        order by 是根据字段去排序的。从表中未查询到'2021001'这个列,所以报错

${} 与 #{} 区别

1、 处理方式不同

${} 是将参数直接替换到 SQL 中

    <select id="selectUser" resultType="com.excel.model.ExcelUser">
     select * from test_excel order by #{var}
    </select> 
     
SQL打印:
        Preparing: select * from test_excel order by name desc 
        Parameters: 
		Total: 4

#{} 则是使用占位符的方式,用预处理的方式来执行业务

    <select id="selectUser" resultType="com.excel.model.ExcelUser">
     select * from test_excel order by #{var}
    </select>
        
SQL打印:
        Preparing: select * from test_excel order by ? 
        Parameters: name desc(String)
        Total: 4

2、 取值范围不同

MyBatis既可以获取执行SQL时插入的请求参数,也可以从主配置文件加载的配置文件中获取配置参数。
#{}只能获取请求参数的值,无法获取配置参数。
${}在MyBatis初始化时能获取配置参数,如果没有,执行时再获取请求参数。

3、安全性不同

${} 会出现 SQL 注入的问题, #{} 因为是预处理方式,不会存在安全问题

使用场景:登录

使用${}登录:
    <select id="login" resultType="com.example.demo.model.UserInfo">
    	select * from userinfo where name='${name}' and password='${password}'
    </select>
    
    @Test
    void login() {
    	UserInfo userInfo = userMapper.login( "java", "java" );
    	system.out.println(userInfo);
	}
SQL打印:
    Preparing: select * from userinfo where name='java' and password='java'
结果:
    登陆成功

然而使用这种方式,在我们不知道密码的情况下却可以使用sql注入的方式使其登陆成功
    <select id="login" resultType="com.example.demo.model.UserInfo">
    	select * from userinfo where name='${name}' and password='${password}'
    </select>
    
    @Test
    void login() {
    	UserInfo userInfo = userMapper.login( "java", "'or 1='1" );
    	system.out.println(userInfo);
	}
SQL打印:
    Preparing:select * from userinfo where name='java' and password='' or 1=1
结果:
    登陆成功

使用#{}登录:
    <select id="login" resultType="com.example.demo.model.UserInfo">
    	select * from userinfo where name = #{name} and password = #{password}
    </select>
    
    @Test
    void login() {
    	UserInfo userInfo = userMapper.login( "java", "'or 1='1" );
    	system.out.println(userInfo);
	}
Sql打印:
    Preparing: select * from userinfo where name=? and password=?
    Parameters: java(String), ' or 1='1(String)
结果:
     登陆失败
书签丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决C#中Linq GroupBy 和OrderBy失效的方法
09-01
然而,有时候在使用`GroupBy`和`OrderBy`操作符时,可能会遇到在本地开发环境中正常工作,但在服务器环境(如英文操作系统)中失效的问题。这通常与系统文化的差异有关,特别是涉及到字符串排序时。 `GroupBy`操作...
C# linq查询之动态OrderBy用法实例
09-03
var tmpList = groupQueryList.OrderBy(sortName, sortOrder); ``` 这里需要几个自定义的扩展方法,如`OrderByDescending`、`ThenBy`和`ThenByDescending`,它们接收一个字符串参数`property`,表示要排序的属性名...
Mybatis xml中排序(order by)条件用#{}查询失败
最新发布
简单-生活
01-10 1221
Mybatis中${}和#{}的区别:https://blog.csdn.net/BBQ__ZXB/article/details/127089187。处理简单分页时,发现从外部传入的排序条件无法生效,但程序无报错,正常返回列表,只是排序条件不对;1、当查询语句使用#{},例如传入"update_date desc"排序条件,生成语句如下。#{}表示一个占位符,当#{}传入的数据是一个字符串时,会自动将传入的数据加一个双引号。使用${}将传入的数据直接显示生成在sql中;
EL表达式的#{}接收order by排序字段报错
qq_44471588的博客
07-15 430
是不会加引号的,因为它传入是int型。而如果传入String用#{}加入到SQL语句中会自动加引号。总结如果用EL表达式传入的是用于字段比较的信息,$#都可以用,区别只是防范SQL注入的安全问题,至于两者之间安全性差别,老生常谈了这里不再赘述。而对于接收到的字符串,网上都说。会对传入的数据自动加引号,而实际测试发现是根据其类型判断是否加一个双引号。...
mybatis 没有引号_详解mybatis的#$区别orderby注入问题
weixin_39711914的博客
12-05 254
详解mybatis的#{}和${}的区别以及order by注入问题,因为标题无法加入{},所以我在文章内加了一下直奔主题..#{}相当于jdbc中的preparedstatement${}是输出变量的值你可能说不明所以,不要紧我们看2段代码:String sql = "select * from admin_domain_location order by ?";PreparedStatemen...
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#, #{}和${}的区别以及order by注入问题
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号''
【Mybatis】【7】order by 使用动态参数时需要注意,用${}而不是#{}
aizhu4795的博客
05-26 255
正文: -- 正确写法 SELECT * FROM TABLE WHERE ID = #{id} ORDER BY ${columnName} DESC 参考博客: MyBatis排序时使用order by 动态参数时需要注意,用$而不是# - pyzheng - ITeye博客https://panyongzheng.iteye.com/blog/2257412 转载...
LINQ to SQL语句之Join和Order By
12-19
LINQ to SQL语句之Join和Order By部分代码 语句描述:这个例子在From子句中使用外键导航筛选在西雅图的雇员,同时列出其所在地区。这条生成SQL语句为: SELECT [t0].[FirstName], [t0].[LastName], [t2]....
C# List OrderBy 动态多字段排序
07-01
`OrderBy` 方法是 LINQ(Language Integrated Query) 提供的一个非常方便的排序工具,它允许我们按照一种或多种字段对数据进行升序排序。在某些情况下,我们可能需要根据动态指定的字段进行排序,这在处理复杂数据...
LINQ:具有复杂排序键的OrderBy
04-05
var sortedList = list.OrderBy(item => GetSortKey(item.PrintedLetter)); ``` 在这里,`GetSortKey`是一个自定义方法,它根据印刷体字母的位置返回一个整数,这个整数将用于排序。 `.NET Dev`标签暗示了这可能与...
总结order by
zyt1204732670的博客
07-08 190
先创建表再插入数据 create table student( id char(36) primary key, name varchar(8) not null, age int(3) default 0, mobile char(11), address varchar(150) ) insert into student values ('9b4435ec-372c-456a-b287-e3c5aa23dff4','张三',24,'12345678901','北京海淀'); inser
order by 后面用占位符?会导致排序失败
Ustinian0的博客
10-30 1349
title: order by 后面用占位符’?'导致排序失败 date: 2020-08-03 20:23:02 tags: jdbc.mysql categories: 编程 String sql = "select empno,ename,sal from emp where sal > ? and sal < ? order by ? desc"; //预编译 ps = conn.prepareStatement(sql); /.
数据库中#{}和${}的区别order by和limit后面${}替换的解决方案
m0_57640408的博客
01-21 3444
两者区别#{}是预编译处理,${}是字符串替换 (1)mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,sql在解析的时候会加上" ",当成字符串来解析。 例如:#{123456, jdbcType=INTEGER} 预编译成:select * from tableName where id = ? ; 再变成:select * from tableName where id = '123456' ; (2)mybatis在处..
ORDER BY用法,避坑
weixin_51582215的博客
01-15 3170
数据库中ORDER BY用法
mybatis的#{}和${}的区别以及order by注入问题
weixin_30512043的博客
07-01 98
#{}相当于jdbc中的preparedstatement ${}是输出变量的值 你可能说不明所以,不要紧我们看2段代码: String sql = "select * from admin_domain_location order by ?"; PreparedStatement st = con.prepareStatement(sql); st.setString(1, "dom...
【MybBatis细节篇】MyBatis中#{}和${}的区别
输入技术、输出想法
12-02 4420
MyBatis中#{}和${}的区别#{} 和 ${} 的区别#{} 和 ${} 的实例:假设传入参数为 1#{} 和 ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} 和 ${} 在使用中的技巧和建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接符 #{} 和 ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
Mybatis使用order by排序使用#无法正确执行的解决之#$区别
Mint6的博客
09-20 1万+
今天遇到一个问题,mysql数据库使用mybatis在mapper.xml写动态sql  order by无法正确使用,没有报错,看日志也是传入了值 后来自己修改order by传入的值,发现对sql没有影响,说明这个sql没有正确执行 首先sql是这样写的 order by #{ORDER_BY} 外部定义是 private static final String ORDER_B
group by和order by的用法和区别
热门推荐
留下你的观点
08-18 5万+
一、order by的用法 使用order by,一般是用来,依照查询结果的某一列(或多列)属性,进行排序(升序:ASC;降序:DESC;默认为升序)。 当排序列含空值时: ASC:排序列为空值的元组最后显示。 DESC:排序列为空值的元组最先显示。 为了好记忆,我的理解是,可以把null值看做无穷大,因为不知道具体为多少。然后去考虑排序,asc升序null肯定在最后,而desc降序,n...
Order By 排序条件中带参数的写法(Oracle数据库、MyBatis)
愿我如星君如月 ... 夜夜流光相皎洁 ...
11-30 8618
Order By 排序条件中带参数的写法(Oracle数据库、MyBatis)
代码解释var sorted = prioritized.OrderBy(priority => priority);
06-08
这段代码使用了 LINQ 中的 `OrderBy` 方法,该方法可以根据序列中的元素进行排序。 在这里,`prioritized.OrderBy(priority => priority)` 表示对序列 `prioritized` 中的每个元素 `priority`,按照 `priority` 的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值