在使用了mybatis框架后,需要进行排序功能时,在mapper.xml文件中编写sql语句时,注意orderBy后的变量要使用${},而不用#{}。
#{}变量是经过预编译的,${}没有经过预编译。
虽然${}存在sql注入的风险,但orderBy必须使用${},因为#{}会多出单引号''导致sql语句失效。为防止sql注入只能自己判断输入的值长度是否有异常
在使用了mybatis框架后,需要进行排序功能时,在mapper.xml文件中编写sql语句时,注意orderBy后的变量要使用${},而不用#{}。
#{}变量是经过预编译的,${}没有经过预编译。
虽然${}存在sql注入的风险,但orderBy必须使用${},因为#{}会多出单引号''导致sql语句失效。为防止sql注入只能自己判断输入的值长度是否有异常