【MyBatis】在 ORDER BY 中的 #{} 占位符的问题

已于 2024-07-30 17:04:39 修改
阅读量238 收藏 1
点赞数 10
文章标签: mybatis java
于 2024-07-22 16:02:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16226933/article/details/140610660
版权

前言

在使用 Mybatis 时,有需求前端指定按某一列进行排序,于是尝试在 Order by 子句中使用 #{} 实现动态地改变排序的列名和排序方向,但是 SQL 的结果不符合预期。经查阅资料了解到 MyBatis 在预处理 SQL 语句时,会将 #{} 占位符替换为参数值的预处理形式,所以不可以在Order by 中使用 #{} 占位符,遂记录该问题和解决方案。

错误的代码

SELECT * FROM `table`

ORDER BY #{prop} #{order}

解决方案

方案一:使用 ${} 代替 #{}

SELECT * FROM `table`

ORDER BY ${prop} ${order}

这里使用了 ${prop} 而不是 #{prop},因为 ${prop} 会直接替换为参数值,不进行任何转义或预处理,这样就解决了 #{prop} 被替换为参数值的预处理形式的问题。但是这种方式会导致SQL注入风险,在调用之前务必确认 prop 和 order 的值合理。

方案二:使用 <choose> 标签

使用 <choose> 和 <when> 实现动态SQL:

SELECT * FROM `table`

<if test="prop != null and prop != ''">
ORDER BY
    <choose>
        <when test="prop == 'priority'">
            priority
        </when>
        <when test="prop == 'task_responsible'">
            task_responsible
        </when>
        <when test="prop == 'status'">
            status
        </when>
        <when test="prop == 'end_time'">
            end_time
        </when>
        <!-- 可以添加更多的 when 条件来支持更多的列 -->
        <otherwise>
        </otherwise>
    </choose>
    <choose>
        <when test="order == 'DESC'">
            DESC,
        </when>
        <otherwise>
            ASC,
        </otherwise>
    </choose>
</if>

使用when标签根据prop和order的值将固定的参数写入SQL中,能够避免SQL注入攻击的风险。

但是这种方式在可选列较多、数据库结构变动频繁时(比如列名)编写和维护会比较复杂。

Seyyu
关注
  • 10
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java#和$占位符对比区别
anzuaifangcheng的博客
07-24 2195
1.#占位符 语法 :#{id}占位符 mybatis处理#{}使用jdbc对象PrepareStatment对象 <select id="selectStudentById" resultType="ssm.Entity.Student" parameterType="java.lang.Integer"> select * from tb_student where sid =#{sid} 例如 mybatis创建PrepareStatment对象,执行sql语句 String
mybatis占位符的讲解
毕业势必进大厂的博客
11-05 5662
mybatis占位符有两个,一个是#,一个是$,这两个有什么区别,我们分别来讲解一下 1. 占位符#{} 语法:#{字符} #占位符告诉mybatis使用实际的参数值代替。并,#{…}代替sql语句的"?"。这样做更安全,更迅速,通常也是首选做法 mapper文件 <select id="selectStudentById" parameterType="int" resultType="com.lu.entity.Student"> select id, name, email, a
MyBatis——谈谈占位符(#、$)的理解与使用
热门推荐
★★光亭★★
03-02 2万+
MyBatis——谈谈占位符(#、$)的理解与使用
一文详解Mybatis占位符#和$的区别?
Java技术攻略的博客
03-14 595
由上经过源码分析,我们知道Mybatis对#{}占位符是直接转换成问号,拼接预处理 sql。${}占位符是原样拼接处理,有sql注入风险,最好避免由客户端传入此参数。
MyBatis】关于 MyBatis占位符 # 和 $ 说明
web15085599741的博客
08-27 465
可 以 替 换 表 名 或 者 列 名 , 需 要 能 确 定 数 据 是 安 全 的 , 才 可 以 使 用 :可以替换表名或者列名, 需要能确定数据是安全的,才可以使用 :可以替换表名或者列名,需要能确定数据是安全的,才可以使用。主要用在替换表名,列名,不同列**排序(order by ${…使用的Statement对象执行sql, 效率比PreparedStatement低。,告诉 mybatis 使用 $ 包含的“字符串”替换所在位置。,告诉 mybatis 使用实际的参数值代替。...
MyBatis学习笔记占位符#$
caijigskg的博客
03-27 629
#占位符: 告诉mybatis使用实际的参数值代替,并使用PrepareStatement对象执行sql语句,#{}代替sql语句的?占位符,这样更安全,更迅速,没有sql注入风险,通常也是首选的做法。 sql映射文件这样写: <select id="mybatissql" resultType=""> select id,name,age from student where id=#{studentid} or name=#{studentname} </select>
Mybatis的#占位符和$占位符的使用方法、区别、适合的使用区域
weixin_45063658的博客
12-20 1189
Mybatis的#占位符和$占位符的使用方法、区别、适合的使用区域
MyBatis 占位符 # 和 $
dejunyang的博客
06-06 302
1. MyBatis 占位符 # 和 $ 默认情况下,使用 #{} 参数语法时,MyBatis 会创建 PrepareStatement 参数占位符,并通过占位符安全地设置参数(就像使用 ? 一样)。这样做更安全,更迅速,通常也是首选做法。 1.1 MyBatis 占位符之 # #{} 占位符MyBatis 会创建 PrepareStatement 参数占位符,并通过占位符安全地设置参数(就像使用 ? 一样),可以有效防止 SQL 注入,更迅速; 示例: <select id="selectBy
MybatisOrder By 不能使用#号
zhouwenjun0820的博客
08-22 3202
mybatis使用#号可以防止SQL注入,但是order by却不能使用#而必须使用$,这是为什么呢? 测试环境: CREATE TABLE `t2` ( `id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT, `value` VARCHAR(50) NULL DEFAULT '0', PRIMARY KEY (`id`) ) ENGINE=InnoDB ; mysql> select * from t2; +----+-------+ | id | va
浅谈mybatis的#和$的区别
09-02
MyBatis,`#`和`$`是用来动态构造SQL语句的占位符,它们的区别主要在于SQL预编译和防止SQL注入的能力。理解这两种符号的用法对于编写安全、高效的MyBatis映射文件至关重要。 1. `#`占位符: - `#`将传入的数据...
Mybatis#{}和${}传参的区别及#和$的区别小结
09-02
MyBatis框架,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis#{}和${}的区别详解
09-01
MyBatis框架,`#{}`和`${}`是两种不同的占位符,它们各自有不同的用途和特性。了解它们的区别对于编写安全、高效的SQL语句至关重要。 首先,`#{}`是预编译参数的表示方式,它会被MyBatis转化为...
Mybatis#{}与${}的区别详解
08-25
因此,在 JDBC 能使用占位符的地方,优先使用 #{},而在 JDBC 不支持使用占位符的地方,使用 ${}。 在实际开发,#{} 和 ${} 都有其应用场景。例如,在模糊查询方面,#{} 和 ${} 都可以用于实现动态 SQL,但是 #{}...
浅谈mybatis的#和$的区别 以及防止sql注入的方法
09-01
MyBatis,`#`和`$`在动态SQL的使用有着明显的区别,它们在处理传入数据的方式上有所不同,同时也与SQL注入的安全问题密切相关。了解这些区别对于编写安全且高效的MyBatis映射文件至关重要。 1. **# 的使用**...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 270
1.导入hutool的maven依赖。2.复制一下代码执行。
golang 接口
m0_70982551的博客
07-24 1063
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口定义的所有方法。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 117
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 582
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
在自定义的Mapper里order by子句可以用#{}吗
05-11
在自定义的Mapper里,如果要使用Order By子句,应该使用动态SQL,而不是#{}。因为#{}只是表示参数占位符,会将参数转换成字符串进行拼接,而不会对Order By子句进行任何处理。因此,如果要使用Order By子句,应该使用动态SQL的<if>标签,例如: ``` <select id="findUsers" resultMap="UserResultMap"> SELECT * FROM user <if test="orderBy != null"> ORDER BY ${orderBy} </if> </select> ``` 在上面的示例,<if>标签用于判断是否有Order By子句需要拼接,如果有,则使用${}语法将Order By子句作为动态SQL进行拼接。注意,在使用${}语法时,需要对Order By子句进行参数校验,防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值