问题:
Mybatis在映射XML文件中配置了排序项,但排序结果总是没有变化。
分析:
经过查阅网上资料,才发现原来是变量定义转义问题
(1)对于形如#{variable} 的变量,Mybatis会将其视为字符串值,在变量替换成功后,缺省地给变量值加上引号。例如:
order by #{variable1}
假设variable1传入值为“name”,则最终SQL语句等同为:
order by “name”
而这个结果在日志里是发现不了的,该句子语法检查亦能通过,可以执行。
(2)对于形如${variable}的变量,Mybatis会将其视作直接变量,即在变量替换成功后,不会再给其加上引号。例如:
order by ${variable1}
假设variable1传入值为“name”,则最终SQL语句等同为:
order by name
为想要的正确结果。
解决:
所以,对于order by变量的传入,应使用
形式,同理,排序顺序ASC/DESC的变量传入,也应使用
形
式
,
同
理
,
排
序
顺
序
A
S
C
/
D
E
S
C
的
变
量
传
入
,
也
应
使
用
{}形式,否则,在使用ORACLE数据库时:
(1)ORDER by #{sortField} #{sortOrder}
会出现“ORA-01745: 无效的主机/绑定变量名“
(2)ORDER by ${sortField} #{sortOrder}
”ORA-00907: 缺失右括号“异常。
(3)ORDER by sortField s o r t F i e l d {sortOrder}
结果正确。
参考:
mybatis中order by排序无效问题
将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sql为order by “id”。
将传入的数据直接显示生成在sql中。如:orderby 将 传 入 的 数 据 直 接 显 示 生 成 在 s q l 中 。 如 : o r d e r b y {user_id},如果传入的值是111,那么解析成sql时的值为order by 111, 如果传入的值是id,则解析成的sql为order by id。
方式能够很大程度防止sql注入。
方式无法防止Sql注入。
方
式
无
法
防
止
S
q
l
注
入
。
方式一般用于传入数据库对象,例如传入表名。
一般能用#的就别用$。
ps: 在使用mybatis中还遇到
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
