Mybatis使用order by语句

最新推荐文章于 2024-08-02 23:30:32 发布
最新推荐文章于 2024-08-02 23:30:32 发布
阅读量8.2k 收藏 5
点赞数
分类专栏: 错误集锦 文章标签: Mybatis使用order by sql注入 $和#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_helloword/article/details/81582582
版权

今天在公司写代码的时候,想到有这样的需求,就是点击不同的按钮,跳转到同一个页面,但根据不同的条件对查询出来的结果进行排序。因为有六七种情况,所以我不可能相同的代码重复写六七遍,仅仅是查询条件不同。

所以自然而然的就想到传入一个参数给sql语句,然后使用order by进行排序。

因为之前一直使用#运算符,所以一如既往,使用#运算符就干,然鹅结果却是不起作用,看了一下输出日志,发现是这样输出的

select * from tableName order by ?;
parameter:columnName(String)

看看没啥毛病啊,实在不理解,就去查阅资料,发现和$、#运算符有关。

(1)使用#运算符,Mybatis会将传入的对象当成一个字符串,在进行变量替换时会加上引号,所以上面的order by语句,替换后就变成了下面的样子

select * from tableName order by 'columnName';

虽然不会报错,但也不能正确排序

(2)使用$运算符,Mybatis不会进行预编译,直接把值传进去,无法防止sql注入,当我们需要传字段的名称时,可以考虑使用$符号,但在后台需要进行数据校验,才能在一定程度上防止sql注入。

sql注入
比如一个登陆的sql语句如下

select * from user where user_id = 'CodeTiger' and password = '123456';

当我们输入CodeTiger 123456的时候,自然能登陆成功。

然鹅当我们输入CodeTiger’;–,不论输入什么密码,都能够正确登陆,因为此时sql语句变成了下面的样子

select * from user where user_id = 'CodeTiger';--' and password = '123456';

后面的密码校验部分被注释了。这就是一个sql注入的小例子,当然实际中远远不止这么low,只是为了说明sql注入是什么。

秃头哥编程
关注
专栏目录
mybatis order by 排序
xiaofanren1111的博客
03-07 2万+
使用MyBatis解析xml进行排序的时候,遇见排序无效的问题!#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。$将传入的数据直接显示生成在sql中。如:order by ${user_id},...
MyBatisPlus条件构造器带条件排序方法orderBy、orderByDesc、orderByAsc使用示例代码
04-24
MyBatisPlus条件构造器带条件排序方法orderBy、orderByDesc、orderByAsc使用示例代码
SQL中的Field方法与MyBaitsPlus配合使用
最新发布
qq_37685626的博客
08-02 281
介绍SQL中的Field函数,并与MyBatis-Plus中的方法配合使用
MybatisOrder By排序问题
热门推荐
Dream it Possible
11-03 15万+
曾写过一篇博客,是接触了一段时间的mybatis开发总结的:《Mybatis,怀疑--使用--感悟》。又过去了一段时间,前不久和别人联调接口,遇到了mybatis的排序问题。这篇博客就来总结一下,在mybatis框架下,如何实现排序?     排序,是个很基础的需求。实现的时候只需要在查询语句后面加上order by 某个字段即可。在mybatis中,用工具可以帮助我们自动生成底层的一套东西,便
MybatisOrder By排序
凤凰涅槃
11-12 4万+
利用Mybatis逆向自动生成,—Example.java,—Mapper.xml文件。 一、—Mapper.xml文件,一个自动生成的查询方法,我们可以看到有order by排序语句。 二、所以我们在逻辑层可以将排序条件加上,以以下例子为例,这里我是按审核状态升序查询。只需要我们在Controller加上example.setOrderByClause(" card_sts ASC");如果你...
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
详细分析MybatisPlus中的orderBy、orderByDesc、orderByAsc函数
码农研究僧的博客
01-04 8524
实战中学习并进行补充该类的源码以及应用。
MyBatis 3 _ SQL 语句构建器1
08-03
在 `selectPersonSql()` 方法中,可以看到这种风格的使用,它将原始的 SQL 语句拆分成各个部分,如 SELECT、FROM、INNER_JOIN、WHERE、GROUP_BY、HAVING 和 ORDER_BY,每个部分都对应一个方法调用,使得代码更清晰...
mybatis中if语句中可以用orderby吗
05-24
MyBatis中的if语句仅用于动态生成SQL语句的条件判断,不支持在if语句中直接使用order by语句。 如果需要在条件判断之后进行排序,可以通过在SQL语句使用case语句来实现,例如: ``` SELECT * FROM users ...
怎么写mybatis多层order by
06-07
criteria.orderBy(orders); ``` 记得在每个情况下,`your_table`应替换为实际的表名,`YourEntity`是对应的数据实体类名,`column1`和`column2`是你要排序的列名,`sortField`和`sortOrder`是传入的动态参数。
【Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 2982
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
深入了解:MyBatisPlus条件构造器带条件排序方法orderBy、orderByDesc、orderByAsc使用
牛肉胡辣汤
10-07 1万+
MyBatisPlus是一个优秀的持久层框架,它在MyBatis的基础上进行了增强和封装,提供了更加便捷的数据库操作方式。其中,条件构造器是MyBatisPlus的重要特性之一,它可以帮助我们动态地构建SQL查询条件。而在条件构造器中,排序是一个常见的需求,MyBatisPlus提供了​​orderBy​​、​​和​​三个方法来实现条件排序。本文将介绍这三个方法的使用方式。MyBatisPlus的条件构造器提供了丰富的方法来构建SQL查询条件,其中排序是一个常见的需求。通过​​orderBy​​、​​和​。
mybatis order by
iteye_10671的博客
06-04 238
  (转)MyBatis排序时使用order by 动态参数时需要注意,用$而不是# 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用ORDER BY ${columnName} 这里...
mybatis使用order by 排序
正伯Pro的博客
04-03 2642
如果编码格式为utf-8型,并且需要为中文字段排序, 那么可以使用如下代码 <select id="selectGoodsManageList" parameterType="GoodsManage" resultMap="GoodsManageResult"> <include refid="selectGoodsManageVo"/> <where> <if test="name != null and
Mybatisorder by排序问题
mtry技术栈
03-18 5545
日前,在做动态字段排序功能时遇到的了问题,sql语法都对了,也能在数据库中正确执行,但就是在代码中执行的时候未有正确结果返回。整了许久,才找到了以下几篇关于mybatis排序的问题,原来竟然受接收参数方式的影响:${parameter}和#{parameter},可能是mybatis的特殊处理。但是,对于${ }的用法,需要注意以下几点:   ${}方式存在sql注入,所以,对于使用前端传过来...
mybatis的映射xml中动态设置orderby
左直拳的马桶_日用桶
08-20 4179
mybatis的dao xml中,根据参数值设置不同的order by字段。 dao java List<DzRainDetail> queryDetail(@Param("masterId") int masterId, @Param("country") String country, @Param("sort") String sort); 第三个参数“sort”用于决定如何写这个order by。 dao XML <select id="queryDetail" result
java mybatis order by多条件排序
m0_67391121的博客
08-17 2008
代码】java mybatis order by多条件排序。
Mybatis order by
chicuoang4118的博客
12-10 172
ibatis#和$符号的区别,传入字符串而不加引号1.#是把传入的数据当作字符串,如#field#传入的是id,则sql语句生成是这样,orderby"id",这当然会报错.2.$传入的数据直接生成在sql里,如#field#传入的是id,则sql语句生成是这样,orderbyid...
mybatisorderBy(排序字段)和sort(排序方式)引起的bug
意田天的博客
07-23 1万+
引言: 记录一个mybatis实现动态字段的排序和动态的升降序问题 实现效果如下: 1. 问题叙述: 在这里无论使用postman是否传递sort的值, 都不生效, postman 执行的sql日志 ==> Preparing: select sum(acd.read_view_count) as read_view_count,sum(acd.read_person_count) as read_person_count, sum(acd.like_count) as like_count,
Mybatis 可以使用 order by吗
06-07
是的,MyBatis可以使用order by语句进行排序。在Mapper XML文件中,可以使用<select>元素的order by子句来指定排序规则。例如: ``` <select id="selectUsers" resultType="User"> select * from users order by user_name asc, create_time desc </select> ``` 这个例子中,我们使用order by子句,按照user_name升序和create_time降序的顺序对users表进行排序。你可以根据自己的需要指定不同的排序规则。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值