EL表达式的#{}接收order by排序字段报错

最新推荐文章于 2022-09-27 20:58:12 发布
最新推荐文章于 2022-09-27 20:58:12 发布
阅读量430 收藏 1
点赞数
分类专栏: Springboot 文章标签: postgresql sql 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44471588/article/details/125798088
版权

前端发回的Json:

{
    "dir":"ASC",
    "sort":"taskStartDate"
}

后台XML中的SQL配置文件:

 order by <if test="dto.sort!=null and dto.sort!='' and dto.dir!=null and dto.dir!=''">
              task.task_start_date ${dto.dir},
          </if>
          task.patrol_land_task_id desc

这里不能使用#{ },只能用${ }。至于两者之间安全性差别,老生常谈了这里不再赘述。而对于接收到的字符串,网上都说#{}会对传入的数据自动加引号,而实际测试发现是根据其类型判断是否加一个双引号

比如上图中#{id}是不会加引号的,因为它传入是int型。而如果传入String用#{ }加入到SQL语句中会自动加引号。这如果直接在order by中使用,会是这样:order by task.task_start_date "DESC"这显然是错误
总结:如果用EL表达式传入的是用于字段比较的信息,$和#都可以用,区别只是防范SQL注入的安全问题,而如果是用于SQL语句的关键字或类似order by语句的一部分,要使用${ }

seven-98
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java实现分页查询
12-30
FROM (SELECT * FROM YOUR_TABLE ORDER BY YOUR_SORT_COLUMN) T ) WHERE RN BETWEEN (your_page_number - 1) * your_pagesize + 1 AND your_page_number * your_pagesize ``` 3. **预编译SQL语句并设置参数**:...
基于。net 基础的 ASP模拟题 经典版
11-19
2. SQL 查询语句:`SELECT` 语句用于查询数据,`GROUP BY` 用于分组,`ORDER BY` 用于排序。题目中的 SQL 命令无错误,但要注意 `ORDER BY 2` 是指按第二列(即"Price")进行排序。 3. 游标声明:在 SQL Server 中...
【MybBatis细节篇】MyBatis中#{}和${}的区别
输入技术、输出想法
12-02 4420
MyBatis中#{}和${}的区别#{} 和 ${} 的区别#{} 和 ${} 的实例:假设传入参数为 1#{} 和 ${} 的大括号中的值单个参数的情形#{}${}多个参数的情形#{}${}#{} 和 ${} 在使用中的技巧和建议 在MyBatis 的映射配置文件中,动态传递参数有两种方式: 1、#{} 占位符 2、${} 拼接符 #{} 和 ${} 的区别 区别1 #{} 为参数占位符 ?,即sql 预编译 ${} 为字符串替换,即 sql 拼接 区别2、 #{}:动态解析 -> 预编译
order by 详解
qq_39871711的博客
07-15 7052
日常开发中,我们经常会使用到order by,亲爱的小伙伴,你是否知道order by 的工作原理呢?order by的优化思路是怎样的呢?使用order by有哪些注意的问题呢?本文将跟大家一起来学习,攻克order by~ 一个使用order by 的简单例子 假设用一张员工表,表结构如下: CREATETABLE`staff`( `id`BIGINT(11)AUTO_INCREMENTCOMMENT'主键id', `id_card`VARCHAR(20)NOT...
Mybatis动态order by 传参#和$的区别
qq_44739966的博客
11-11 725
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
(#{}和${}的区别)前端向后端传入参数实现字段排序,参数信息正常,但是后台数据库查询返回的结果未排序
发则韩的博客
12-12 1846
问题 前端向后端传参数,后端用自己封装的实体类Page来接收,目的是为了实现根据前端传入的字段sort和order进行正序或倒序排序,log日志显示传入的参数信息正常,但是查询返回的结果并没有进行排序,查询的sql语句如下: <select id="getAllUsers" resultMap="BaseResultMap" parameterType="com.hrms.utils.Pag...
【xml文件中,表名使用#{}占位符报错
Frank_Ting的博客
06-28 404
xml文件中,表名使用#{}占位符报错
JSP_Order-inquires-the-data-from-sql.zip_Jsp/Servlet_Java_
08-11
6. **展示数据**:在JSP页面上,可以使用JSP动作标签(如`<jsp:useBean>`、`<jsp:setProperty>`)或EL(Expression Language)表达式来显示查询结果。可以使用`<c:forEach>`标签循环遍历结果集,并将数据绑定到HTML...
Spring Boot 整合Thymeleaf.docx
06-19
1. **变量表达式**:类似于OGNL或Spring EL表达式,用于访问模型属性,例如`${session.user.name}`。在HTML中,可以使用`${book.author.name}">`来显示书的作者名称。 2. **选择(星号)表达式**:这种表达式允许...
基于ssm+jsp运动器械购物商城源码数据库文档.zip
最新发布
04-18
在这个项目中,JSP页面可能包含了商品详情、购物车、订单确认、支付页面等,开发者可以通过JSP标签库和EL表达式来实现动态渲染。 此外,项目还涉及到微信小程序的接口,这意味着商城系统支持微信小程序的接入,用户...
【mybatis】mybatis动态order by 的问题, 注意 只需要把#{} 改成 ${} 即可
weixin_34342905的博客
10-25 1461
先说解决方案: 注意 只需要把#{} 改成 ${} 即可 再看 使用过程: Mapper.java List<IntegralGoods> findInUid(@Param("uidList") List<String> uidList,@Param("order") String order,@Param("orderType") String...
mybatis中#{}报错 Parameter index out of range (1 > number of parameters, which is 0)问题
zhuchunyan_aijia的博客
06-25 3001
有以下几种原因: 1. mysql 表里面字段 命名上导致的 name =#{nn} name 是特殊字段,需要改成`name`=#{nn} 2. 在Mybatis中Mapper.xml文件中,如果有sql涉及的模糊查询,中间包含like语句时,只能使用$,不能使用#。 但是使用$时,相当于直接传递字符串,存在sql注入的风险 而使用#{}语法将导致MyBatis生成Prep...
【8015】解决mybatis中用${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
Caojian_0的博客
09-27 1990
【8015】解决mybatis中用${}替换#{}配参报错java.sql.SQLSyntaxErrorException: Unknown column ‘XXX‘ in ‘where clause
order by总结
liuxiaoxiao
07-08 502
order by:对查询结果进行排序,必须置于SQL语句的最后, 语法:order by {column_name1, column_name2, column_name3, ......column_namen} [asc|desc] 说明: 1.{column_name1, column_name2, column_name3, ......column_namen}:指定需要排列的字段 2.[asc|desc]:指定排列策略,asc以升序排列,desc以降序排列,默认以升序排列。 ...
Order By 问题集合
weixin_30343157的博客
04-25 474
问题(一):Order By 多个参数排序 在做多字段排序的时候我们经常会会用到该语句。 所以多参数排序是从左到右的局部排序,修改的范围只有前面参数(几个参数)相同的情况下在排序。 select * from table order by 参数1 , 参数2 DESC……limit ? 在做多字段排序的时候我们经常会会用到该语句。 这里的参数1 是按照 ASC 排序所以就可...
order by(排序)---入门使用
weixin_44050355的博客
08-17 908
/* order by:排序 order by 字段名/统计结果 【DESC/ASC】, 字段名/统计结果 【DESC/ASC】 … */ #查询员工的姓名和薪资,按照薪资的从高 DES C到 低 ASC;排序 SELECT ename,salary FROM t_employee ORDER BY salary DESC; #查询员工的编号,姓名和薪资,按照薪资的从高到低排序,如果...
常见代码报错提示
热门推荐
Bright2017的博客
05-08 1万+
写代码时,经常出现报错,但因为提示是应为,英文不好翻译出来结果又不准确很影响开发效率。下面是我遇到过的一些错误,希望能帮到大家。 1.Uncaught SyntaxError: Invalid or unexpected token  这个是指你的程序错误,比如写错,或者缺少 , ) ; } 这些符号。  我经常是把英文逗号写错成中文逗号的时候就会见到他了
java 获取el表达式中的字段
05-25
要获取EL表达式中的字段,可以使用Java的EL表达式引擎。可以通过以下步骤来实现: 1. 创建一个EL表达式引擎对象:`javax.el.ExpressionFactory factory = javax.el.ExpressionFactory.newInstance();` 2. 编译EL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值