前端发回的Json:
{
"dir":"ASC",
"sort":"taskStartDate"
}
后台XML中的SQL配置文件:
order by <if test="dto.sort!=null and dto.sort!='' and dto.dir!=null and dto.dir!=''">
task.task_start_date ${dto.dir},
</if>
task.patrol_land_task_id desc
这里不能使用#{ }
,只能用${ }
。至于两者之间安全性差别,老生常谈了这里不再赘述。而对于接收到的字符串,网上都说#{}
会对传入的数据自动加引号,而实际测试发现是根据其类型判断是否加一个双引号
比如上图中#{id}
是不会加引号的,因为它传入是int型。而如果传入String用#{ }加入到SQL语句中会自动加引号。这如果直接在order by中使用,会是这样:order by task.task_start_date "DESC"
。这显然是错误。
总结:如果用EL表达式传入的是用于字段比较的信息,$和#都可以用,区别只是防范SQL注入的安全问题,而如果是用于SQL语句的关键字或类似order by语句的一部分,要使用${ }
。