Mybatis使用order by排序使用#无法正确执行的解决之#与$的区别

最新推荐文章于 2024-03-28 14:31:11 发布
最新推荐文章于 2024-03-28 14:31:11 发布
阅读量1w 收藏 15
点赞数 6
分类专栏: mybatis 文章标签: mysql 数据库 mybatis动态sql sql #
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mint6/article/details/78039935
版权

今天遇到一个问题,mysql数据库使用mybatis在mapper.xml写动态sql  order by无法正确使用,没有报错,看日志也是传入了值

后来自己修改order by传入的值,发现对sql没有影响,说明这个sql没有正确执行

首先sql是这样写的

order by #{ORDER_BY}

外部定义是 

private static final String ORDER_BY = "name ASC";

查看日志 

 Parameters: name ASC(String), 0(Integer), 10(Integer)

看到ORDER_BY的确传进来了,就是这个name ASC(String),但是它是String类型的,这时sql语句为 order by "name ASC ",

大家可以在mysql里面直接这样写写,sql语句会执行,但是没有作用,也不会报错

下面改成

order by ${ORDER_BY}
查看日志 

Parameters: 0(Integer), 10(Integer)

没有了name ASC(String)   但是结果正确执行了


网上查找资料:

(1)对于形如#{variable} 的变量,Mybatis会将其视为字符串值,在变量替换成功后,缺省地给变量值加上引号。"variable"

 (2)对于形如${variable}的变量,Mybatis会将其视作直接变量,即在变量替换成功后,不会再给其加上引号。     variable

 所以在动态sql中,#{variable} 需要去掉 "",比如正常sql赋值一般是这样的and name= #{name},因为是=赋值,所以会获取内容,去掉""

${variable}可以直接使用,比如order by ${name}   传入的直接是name,不带双引号,可以直接使用,

并且order by不是 =赋值,所以如果直接order by #{name},结果是order by "name",自然无法执行了


总结#{variable} 传入字符串,可以在日志查看到传入的参数,需要赋值后使用,可以有效防止sql注入

${variable}是直接传入变量,在日志查看不到传入的变量,直接在sql中执行,无法防止sql注入

所以,尽量用#{variable}格式,如果不是类似=赋值后再使用的sql,需要使用${variable}


网上还说有<![CDATA[]]>内需要注意#与$的区别,暂时没遇到,先备注一下。




Mint6
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MyBatis 中 ${}和 #{}的正确使用方法(千万不要乱用)
08-18
主要介绍了MyBatis 中 ${}和 #{}的正确使用方法,本文给大家提到了MyBatis 中 ${}和 #{}的区别,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
order by 的高级用法
SQL数据库开发
12-06 675
点击关注公众号,SQL干货及时获取后台回复:1024,获取海量学习资源导读为什么只有ORDER BY后面可以使用列别名为什么不推荐使用ORDER BY后接数字来排序为什么视图和子查询里面不能使用ORDER BY ……小伙伴们在进行SQL排序时,都能很自然的使用ORDER BY。不管是默认ASC的升序,还是DESC降序,几乎都是信手拈来。今天给大家分享一些你可能不知道的ORDER BY用法...
order by #{orderBy}不生效原因及解决方法
最新发布
u012334315的专栏
03-28 279
原因:在业务开发中,#{orderBy}里一般传入的是字符串变量,因此会被预编译为带问号的语句以及参数,...order by?..., Parameters:‘time’(String) ,并在执行时被正式编译为带引号的语法,例如order by ‘time’,这就和mysqlorder by time语法不一致,因此是不生效的(但不会报错)以上问题并不是mybatis的问题,而是sql语法的问题 ,谁让sql语法里order by 后面跟的是一个不带引号的字段名呢。所以mybatis干脆不管了。
MySQLorder by指定字段(字符串数值)排序失效解决方案
很酷一只卷儿的博客
11-23 3147
代码均由MyBatis Generator自动生成 以下是mapper.xml文件中部分语句 select <if test="distinct"> distinct </if> <include refid="Base_Column_List" /> from HOUSE <if test="_parameter != null"> <include refid="Example_...
MyBatis 常用写法
nano-dhh
09-03 9616
实际项目总结的一些用法,以后用相似的可以直接拷贝foreach用法:/** * 查询出用户最大的登录时间 * @param informedObjIds 用户id集合 * @return */ List&lt;UserLastLoginBean&gt; selectUserMaxLoginTimeByUserIds( List&lt;Integer&gt; informedObjIds...
MySQL学习笔记-order by工作原理
qq_38937634的博客
02-21 154
文章目录MySQL学习笔记-order by工作原理1.表结构2.插入实验数据3.执行排序查询4.explain 分析5.全字段排序流程6.rowid 排序流程7.优化建议 MySQL学习笔记-order by工作原理 1.表结构 CREATE TABLE `t` ( `id` int unsigned NOT NULL AUTO_INCREMENT, `city` varchar(16) NOT NULL, `name` varchar(16) NOT NULL DEFAULT '',
Mybatis动态order by 传参#和$的区别
qq_44739966的博客
11-11 699
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
解决PageHelper.orderby排序拓展性差,让mybatis的mapper.xml告别order by
q453613948的博客
02-22 6052
[img=https://img-bbs.csdn.net/upload/202002/22/1582380389_680338.jpg][/img][img=https://img-bbs.csdn.net/upload/202002/22/1582380389_908042.jpg][/img][img=https://img-bbs.csdn.net/upload/202002/22/158...
Mybatis的mapper.xml文件详细介绍
这里记录着我一点一滴的进步
02-14 1035
表结构: CREATE TABLE customer ( id int(11) NOT NULL COMMENT ‘企业用户ID’, name varchar(45) DEFAULT NULL COMMENT ‘名称’, logo varchar(80) DEFAULT ‘’ COMMENT ‘企业标识’, describe varchar(500) DEFAULT ‘’ COMMENT ‘企...
MaBatis之Mapper.xml的配置(排序
weixin_38167703的博客
04-18 3385
<!-- 排序 也必须用查询对象,如果不适用查询对象直接传入一个string或者对象,它是按照占位符处理的 也就是说如果用#birthday转换成sql语句是这样的 select id, stuName, sex, birthDate, address from st_student order by 'birthDate' desc; 但...
Mybatis中xml配置文件order by字段注意事项
qq_56742368的博客
08-26 445
Mybatis中如果使用#符引用参数,会自动在参数值两端加引号,导致排序失效,因此Mybatis使用Order By时一定使用$符号!因为使用错误也不会报错,因此可能不容易发现。
Java Mybatis中的 ${ } 和 #{ }的区别使用详解
08-18
主要介绍了Mybatis中的 ${ } 和 #{ }的区别使用详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis之#{}与${}的区别使用详解
08-19
主要介绍了Mybatis之#{}与${}的区别详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解Mybatis中的 ${} 和 #{}区别与用法
08-18
主要介绍了Mybatis中的 ${} 和 #{}区别与用法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Mybatis动态sql中##和$$的区别讲解
08-26
今天小编就为大家分享一篇关于Mybatis动态sql中##和$$的区别讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
MyBatis使用$和#所遇到的问题及解决办法
09-01
主要介绍了MyBatis使用$和#所遇到的问题及解决办法的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
Mybatis中#{}和${}传参的区别及#和$的区别小结
09-02
主要介绍了Mybatis中#{}和${}传参的区别及#和$的区别小结 的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
浅谈Mybatis #和$区别以及原理
08-18
主要介绍了浅谈Mybatis #和$区别以及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Mybatis中#{}与${}的区别详解
08-25
主要介绍了Mybatis中#{}与${}的区别详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatissql使用了foreach和union后order by排序
05-30
MyBatisSQL 中,使用 foreach 和 union 时排序的语法如下所示: ``` SELECT order_id, order_date, customer_name FROM orders WHERE order_id IN (" separator="," close=")"> #{id} UNION SELECT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值