mybatis的映射xml中动态设置orderby

已于 2024-04-10 11:40:08 修改
阅读量5.1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: mybatis orderby 动态设置orderby
于 2021-08-20 16:55:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leftfist/article/details/119826948
本文介绍了在MyBatis中如何使用动态SQL根据参数值来设置不同的ORDER BY字段。通过`<if>`标签和`compareTo`方法实现条件判断,避免了因将字符串`sort`误判为数值导致的异常。讨论了Java中字符串比较的正确方式,强调了在XML映射文件中处理字符串参数的注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

mybatis的dao xml中,根据参数值设置不同的order by字段。

dao java

List<DzRainDetail> queryDetail(@Param("masterId") int masterId, 
@Param("country") String country, 
@Param("sort") String sort);

第三个参数“sort”用于决定如何写这个order by。

dao XML

<select id="queryDetail" resultMap="DetailResultMap">
    SELECT rd.id, st.address, rd.water, st.d_name
    FROM dzzhyj.dz_rain_detail rd
    INNER JOIN dzzhyj.DZ_RAIN_STATION st ON rd.station_code = st.code
    WHERE rd.master_id = #{masterId}
    AND st.country = #{country}
    <if test="sort.compareTo('d') == 0">
        ORDER BY st.d_name ASC
    </if>
    <if test="sort.compareTo('water') == 0">
        ORDER BY rd.water DESC
    </if>
</select>

由于sort是字符串,String类型,我发现写成以下形式会报错:

<if test="sort == 'd'">
    ORDER BY st.d_name ASC
</if>
<if test="sort == 'water'">
    ORDER BY rd.water DESC
</if>

系统会将sort认为是数值型,抛出异常说无法识别的值。

2024.04.10
本来在java中,字符串的比较也不能直接用 == 号吧,要么equals要么compareTo,很正常,是自己基础烂而已。

mybatis 中对于 order by 动态排序的处理
从入门到放弃
03-23 744
首先字段名不知道,数量不确定,同时既要可以做到准确查询出结果,又要防止注入情况的发生,我是在网上没找到合适的解决方案。显然注入不了,因为这句sql 执行的结果是 查询 ctaname为 "Tom or 1=1" 这个字符的结果集,有就是有,没有就是没有。这样一种 or (或)的查询条件,显然 1=1 始终为真,则会查询出对应表中的所有数据,这不就是简单的注入情况了吗?比如最近有兄弟咨询,我需要动态的根据调用方法传递的比如 排序字段来进行排序(排序字段不知道,数量也不确定)。可以进行正常的排序。
MyBatis学习(3)—— MyBatis获取参数值
Archer__13的博客
04-14 708
MyBatis获取参数值的两种方式:${ } 和 #{ } ${ }:本质上是字符串拼接;#{ }:本质上是占位符赋值 一. 传入一个参数 ①使用#{ }获取参数值:select * from user where username=#{username} ②使用${ }获取参数值:select * from user where username='${username}' 需要加上单引号 当Mapper接口只传入一个参数时,可以通过#{ }和${ }以任意的名称获取参数值。 { }中的...
mybatis中,sql语句的动态实现(xml方式)
2302_81500764的博客
04-17 940
下面进行解释:<if test="username!trim。二:trim标签。
MyBatis/MyBatis-Plus分页插件在xml文件中使用orderby动态参数报错问题
qq_38572916的博客
06-02 1670
这种情况会报 Parameter index out of range (2 > number of parameters, which is 1)。这就导致本来传进来两个参数但是只使用了一个就会报 Parameter index out of range。查看报错是因为Mybatis分页插件的查询总数sql会把order by 优化掉如下代码。
Mybatis动态order by 传参#和$的区别
qq_44739966的博客
11-11 818
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 3万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
Mybatis动态传入order by
ClearLoveQ的博客
08-03 4620
Mybatis的mapper文件传入的order by动态参数说的时候发现排序无法生效: 像下面这样,在choose when中的order by后的参数是用预编译的方式,用的是#号,这样是可以防止sql注入的问题,但是在传入order by参数的时候无法解析: <select id="feescaleList" resultType="com.hasagei.modules....
【Java】mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 3799
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
mybatis动态order by 排序问题
weixin_43996353的博客
02-23 2311
问题 sql查询需要根据条件动态修改排序字段以及升降序; 刚开始尝试在sql中直接使用choose when进行判断: <choose> <when test="flag== '5'"> order by A_DATE desc </when> <otherwise> order by B_DATE asc </otherwise>
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
【web开发】第16节:MybatisXML标签&动态SQL
m0_46013789的博客
06-05 1550
MyBatis是一款优秀的持久层框架,用于简化JDBC的开发。我们做为后端程序开发人员,通常会使用Java程序来完成对数据库的操作。Java程序操作数据库,现在主流的方式是:Mybatis
MyBatisPlus条件构造器带条件排序方法orderByorderByDesc、orderByAsc使用示例代码
04-24
MyBatisPlus条件构造器带条件排序方法orderByorderByDesc、orderByAsc使用示例代码
Day09-09.Mybatis-XML映射文件
m0_63464979的博客
06-27 728
​ 4.如果我们按照这三点规范来定义配置文件,此时我们在调用EmpMapper这个接口当中的selectAll2这个方法的时候,此时mybatis框架会自动的去查找namespace的属性值和这个接口全类目相同的这份XML映射文件,并且在这份XML映射文件当中,找到id属性值与方法名相同的这条sql语句,最终来运行这条sql语句,从而完成数据库的操作。​ 2.之前使用注解的方式就不会存在这个问题,因为使用注解的方式进行配置,我们执行这个接口方法,最终执行的就是上面的sql语句,是绑定在一起的。
3. MybatisXML配置文件(重点)
eeeeeeeeei的博客
01-30 1864
mybatis配置文件+动态sql+判断条件是否成立+会自动去除子句的开头的and或or+插入set关键字,并会删掉额外的逗号+遍历deleteByIds方法中传递的参数ids集合+通过属性refid,指定包含的SQL片段
MybatisXML配置文件
m0_59281987的博客
04-23 885
Mybatis的开发有两种方式:注解XML
Java 领域 MyBatis 映射结果集的排序处理
最新发布
Java技术栈实战开发的博客
05-09 788
MyBatis 基础排序机制静态与动态排序实现复杂对象映射中的排序处理性能优化与最佳实践实际应用案例分析首先介绍 MyBatis 的基本排序机制然后探讨静态和动态排序的实现接着分析复杂场景下的排序处理最后讨论性能优化和高级应用ResultMap: MyBatis 中定义如何从数据库结果集映射到 Java 对象的配置元素动态 SQL: 根据运行时条件动态生成 SQL 语句的 MyBatis 特性: 处理特定 Java 类型与数据库类型之间转换的组件云原生适配。
mybatis字符串条件判断 - 动态 order by 条件
johntsu的专栏
06-08 1万+
    在做电商类项目,例如淘宝,其app中的商品列表页面中,会有几个排序条件,例如价格、销量等。就像下面这个样子如果用户点击“价格”,就是按照价格由低到高排序。    如果我们只使用同一个接口来处理商品列表数据的检索,那么mybatis中的sql,其order by就必须根据用户点选的“价格”、“销量”等条件进行排序。也就是说,order by 必须要做成活的,不能写死。    这里我们假设上面...
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#, #{}和${}的区别以及order by注入问题
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号''
Mybatis order by 动态传参出现的一个小bug
三分恶的博客
07-24 2017
crud仔日常crud翻车——MyBatis order by 动态传参: java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).
mybatis xml orderby
04-01
<think>好的,我现在需要回答用户关于MyBatis XML中如何实现order by排序的问题,并且需要提供示例。首先,我要回忆一下MyBatis的相关知识,特别是XML配置和动态SQL的部分。 用户的问题集中在使用MyBatisXML映射文件来实现排序功能,尤其是动态order by。根据之前的参考资料,特别是引用[2]和[3],了解到在MyBatis中,${}和#{}的区别。其中,${}会直接替换变量的值到SQL语句中,而#{}则是预编译处理,防止SQL注入。但是,在order by子句中,由于需要指定列名,不能使用预编译的参数占位符(比如?),这时候必须使用${}来动态插入列名和排序方式,否则会导致语法错误。 接下来,我需要构造一个示例,展示如何在XML中编写动态order by语句。可能需要结合<if>标签来判断传入的参数,动态决定排序的列和顺序。例如,用户可能传递一个sortColumn和sortOrder参数,然后根据这两个参数动态生成order by子句。 需要注意的是,使用${}会有SQL注入的风险,因此必须确保传入的参数是可信的,或者在业务层进行校验,比如限制sortColumn只能是特定的几个列名,sortOrder只能是ASC或DESC。这样可以避免用户输入恶意内容。 然后,我需要参考引用中的内容,特别是引用[2]提到的ORDER BY ${columnName}的情况,以及引用[3]中关于#{}和${}的区别,说明为什么在这里必须使用${}而不是#{}。比如,如果使用#{},MyBatis会将参数值替换为带有引号的字符串,导致SQL语法错误,如ORDER BY 'username' ASC,这显然是不正确的。 接下来,我需要给出一个具体的XML配置示例,比如在Mapper的XML文件中定义一个select语句,使用${sortColumn}和${sortOrder}来动态排序。同时,可以加入<if>标签,处理可能的空值情况,或者设置默认排序方式。 例如,当用户传入sortColumn和sortOrder时,动态生成order by子句;如果没有传入,则可能不排序或者使用默认排序。这时候可能需要使用<choose>、<when>等动态SQL标签来实现条件判断。 另外,还需要在对应的Mapper接口中定义方法,参数可能需要使用@Param注解来指定名称,或者在XML中通过参数名引用。比如,接口方法可能是List<User> selectUsersWithOrder(@Param("sortColumn") String sortColumn, @Param("sortOrder") String sortOrder);。 最后,需要提醒用户关于SQL注入的问题,强调参数校验的重要性,并建议在可能的情况下,使用枚举或白名单来限制传入的列名和排序方式,确保安全性。 总结步骤: 1. 解释${}在order by中的必要性。 2. 提供XML中使用${}的示例。 3. 展示如何结合动态SQL标签处理不同情况。 4. 强调参数校验以防止SQL注入。 5. 可能的优化建议,比如白名单校验。</think>### MyBatis XML 中实现动态 Order By 排序的方法 在 MyBatis 中,**`ORDER BY` 子句需要动态拼接列名和排序方式**,此时需使用 `${}` 语法直接替换参数值到 SQL 中,而非预编译的 `#{}` 语法。以下为具体实现步骤和示例: --- #### 1. 使用 `${}` 实现动态排序 - **语法区别**: - `#{}`:生成预编译参数(如 `?`),适用于值传递(如 `WHERE id = ?`)[^3]。 - `${}`:直接替换变量内容到 SQL 中,适用于列名、排序方式等非值场景[^2]。 - **示例 XML 配置**: ```xml <select id="selectUsers" resultType="User"> SELECT * FROM sys_user ORDER BY ${sortColumn} ${sortOrder} </select> ``` --- #### 2. 结合动态 SQL 标签 通过 `<if>` 标签实现条件判断,支持灵活的排序逻辑: ```xml <select id="selectUsers" resultType="User"> SELECT * FROM sys_user <if test="sortColumn != null and sortOrder != null"> ORDER BY ${sortColumn} ${sortOrder} </if> <if test="sortColumn == null"> ORDER BY id ASC <!-- 默认排序 --> </if> </select> ``` --- #### 3. Mapper 接口定义 接口方法需通过 `@Param` 注解明确参数名称: ```java public interface UserMapper { List<User> selectUsers( @Param("sortColumn") String sortColumn, @Param("sortOrder") String sortOrder ); } ``` --- #### 4. 防止 SQL 注入 - **参数校验**:限制 `sortColumn` 的取值(如仅允许 `id`, `username` 等合法列名)。 - **白名单机制**: ```xml <select id="selectUsers" resultType="User"> SELECT * FROM sys_user ORDER BY <choose> <when test="sortColumn == 'username' or sortColumn == 'email'"> ${sortColumn} </when> <otherwise>id</otherwise> </choose> ${sortOrder} </select> ``` --- #### 5. 调用示例 ```java // 按用户名升序查询 List<User> users = userMapper.selectUsers("username", "ASC"); // 默认按 id 升序 List<User> users = userMapper.selectUsers(null, null); ``` --- ### 注意事项 1. **安全风险**:直接使用用户输入的参数作为 `${sortColumn}` 或 `${sortOrder}` 可能导致 SQL 注入,需严格校验参数值。 2. **性能影响**:动态拼接 SQL 可能影响执行计划缓存,但对排序场景无显著性能损失。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值