关于order by后面不能使用参数传递值问题。

最新推荐文章于 2024-04-12 02:55:24 发布
最新推荐文章于 2024-04-12 02:55:24 发布
阅读量4.8k 收藏 1
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sb1ue/article/details/8130220
版权

    今天,在小程序中做到排序功能时,莫名抛出了一个奇怪的错误。'@P3' 附近有语法错误。代码如下:

	@Override
	public List<Users> getUsers(int index,StringBuffer sb,int displayNum,String sortName,String sortDir) throws ClassNotFoundException, SQLException
	{
		int start=index;
		int end=index+displayNum;
		List<Users> list=new ArrayList<Users>();
		String sql="select rownum=identity(int,1,1),UserID,UserName,rolename,Email,Name,Age,Gender,Telephone,[state] into #temp from users" +
				" join [Role] " +
				" on Users.RoleID=[Role].roleid " +
				" select top 10 * ,total=(select COUNT(*) from #temp) from #temp " +
				" where rownum>? and rownum<=? ";
				if(!(sortName.equals("") || sortDir.equals("")))
				{
					sql+=" order by ? ?";
				}
				sql+=" drop table #temp";
		Connection conn=prepare();
		PreparedStatement ps=conn.prepareStatement(sql);
		ps.setInt(1, start);
		ps.setInt(2, end);
		if(!(sortName.equals("") || sortDir.equals("")))
		{
			ps.setString(3, sortName);
			ps.setString(4, sortDir);
		}
		ResultSet rs= ps.executeQuery();
		String s="";
		while(rs.next())
		{
			Users user=new Users();
			user.setAge(rs.getString("Age"));
			user.setEmail(rs.getString("Email"));
			user.setGender(rs.getString("Gender"));
			user.setName(rs.getString("Name"));
			user.setState(rs.getString("state").charAt(0));
			user.setTelephone(rs.getString("Telephone"));
			user.setUserID(rs.getString("UserID"));
			user.setUserName(rs.getString("UserName"));
			user.setRoleName(rs.getString("rolename"));
			list.add(user);
			s=rs.getString("total");
		}
		sb.append(s);
		conn.close();
		ps.close();
		rs.close();
		return list;
	}

    经过一些简单的排除,我琢磨着应该是ps.setString(3,sortName)这一句出现了问题。

   但是,令人不解的是,不管怎么分析,语句没有错,传入的参数也没有错。就是一执行就会报错。

   于是,我把代码改成下面这样。

	@Override
	public List<Users> getUsers(int index,StringBuffer sb,int displayNum,String sortName,String sortDir) throws ClassNotFoundException, SQLException
	{
		int start=index;
		int end=index+displayNum;
		List<Users> list=new ArrayList<Users>();
		
		String sql="select rownum=identity(int,1,1),UserID,UserName,rolename,Email,Name,Age,Gender,Telephone,[state] into #temp from users" +
		" join [Role] " +
		" on Users.RoleID=[Role].roleid " +
		" select top 10 * ,total=(select COUNT(*) from #temp) from #temp " +
		" where rownum>"+start+" and rownum<="+end+" ";
		if(!(sortName.equals("") || sortDir.equals("")))
		{
			sql+=" order by "+sortName+" "+sortDir+" ";
		}
		sql+=" drop table #temp";
		Connection conn=prepare();
		Statement ps= conn.createStatement();
		ResultSet rs= ps.executeQuery(sql);
		String s="";
		while(rs.next())
		{
			Users user=new Users();
			user.setAge(rs.getString("Age"));
			user.setEmail(rs.getString("Email"));
			user.setGender(rs.getString("Gender"));
			user.setName(rs.getString("Name"));
			user.setState(rs.getString("state").charAt(0));
			user.setTelephone(rs.getString("Telephone"));
			user.setUserID(rs.getString("UserID"));
			user.setUserName(rs.getString("UserName"));
			user.setRoleName(rs.getString("rolename"));
			list.add(user);
			s=rs.getString("total");
		}
		sb.append(s);
		conn.close();
		ps.close();
		rs.close();
		return list;
	}
    有意思的是,这次执行却没有报任何错,完美运行。可是,这现象却让我不解了,为什么同样的语句,两种不同的写法会有如此差异呢?

    后来,通过自己不断的缩小测试范围,以及网上查得的一些资料。总算是知道了,order by 后面不能用参数的形式传入值。只能用字符串拼接或其他方式。

sb1ue
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring jdbcTemplate queryForList 预编译 order by ?失效 带来的思考以及查阅资料 获取到的知识
YangRuiHong的专栏
12-27 3654
String xx=" select * from( select CLASSES,ID,TITLE ,to_char(pub_date,'yyyy-mm-dd')pub_date,URL,rownum rn from urlmaptab where classes=? and flag='1' and auth_flag in('G') "+ " and rownum=? order
Laravel开发-laravel-scopes
08-28
$users = User::active()->olderThan(30)->orderBy('name')->get(); ``` 这里先过滤出活跃且年龄大于30的用户,然后按照名字排序。 ### 5. Dynamic Scopes 动态Scopes允许你根据动态参数来构建查询。例如,我们...
『Java安全』SQL安全-ORDER BY注入
Ho1aAs‘s Blog
01-03 1767
# 原理 SQL中:ORDER BY执行排序后面需要指定列名,该列名是不能被引号包含的否则就会被认为是一个字符串。 而PrepareStatment使用占位符传递参数时,会用单引号包裹参数,因此不能使用预编译 所以使用ORDER BY要搭配字符串拼接上列名
ORDER BY用法,避坑
weixin_51582215的博客
01-15 3118
数据库中ORDER BY用法
SQL注入之ORDER BY注入_order by 后面的变量 sql注入(2)
最新发布
2401_83739411的博客
04-12 326
rand() 函数用于生成介于0和1之间的伪随机数。使用ORDER BY语句不仅支持对单列数据的排序,还支持对数据表中多列数据的排序。order by还支持多个字段自定义排序,通过逗号隔开,但只能在数字之间进行自定义排序,若选择字符类型则会根据第一个列名的排序规则进行排序。为true或者false时,排序结果是不同的,但因为序列相同所以就可以使用rand()函数进行盲注了。如上可以看出字符串型时if(***)被转化为字符串导致失效,排列顺序不改变而数字型时排列顺序改变。,数字型注入时才能生效,如果是。
java 的参数传递
小小码农
05-03 3985
经过change方法执行后,实参的被改变了,那按照上面2.2的引用传递的定义,实际参数的被改变了,这不就是引用传递了么。那根据上面的两段代码,可以得出新的结论:Java的方法中,在传递普通类型的时候是传递,在传递对象类型的时候是引用传递,真的是这样吗?看到这里,同学对 1,2,4 的结果肯定是不会有疑问,可能会有一部分同学会对 3 的输出有些疑问,change方法不是对序列进行了倒排,为啥3 处mockList 的序列没变,如果有这个疑问的同学,那么你有必要要认真看下本文;
Mybatis中Order By 不能使用#号
zhouwenjun0820的博客
08-22 3165
mybatis中使用#号可以防止SQL注入,但是order by却不能使用#而必须使用$,这是为什么呢? 测试环境: CREATE TABLE `t2` ( `id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT, `value` VARCHAR(50) NULL DEFAULT '0', PRIMARY KEY (`id`) ) ENGINE=InnoDB ; mysql> select * from t2; +----+-------+ | id | va
2021-2022计算机二级等级考试试题及答案No.3528.docx
11-01
16. 创建存储过程时,CALL语句用于调用过程,IN参数传递输入,OUT参数传递输出。题目中正确的调用方式是CALL p(100, @x),其中@x是一个变量用于接收输出。 17. Windows操作系统中,剪贴板是系统级共享的,...
Laravel开发-laravel-scope-name .zip
10-05
在Laravel框架中,"Scope"是一个非常重要的概念,它帮助开发者定义可重用的查询逻辑,使得数据库...这个压缩包中的资料可能涵盖了Scope的定义、使用参数传递、全局Scope等内容,是学习和提升Laravel技能的好资源。
pagehelper/PageInterceptor导致MyBatis执行SQL问题
qq_43833453的博客
11-08 302
SQL是17年的代码(老项目了~), 新加的需求也跟这里没有关系, 幸好单测可以重现问题. 查看报错堆栈, 看到查询大致经过两个组件, 先MyBatis然后sharding JDBC. 其中MyBatis会先经过一个拦截器PageInterceptor. 看到这里, 嫌疑最大的就是PageInterceptor了, 拼接SQL是MyBatis的工作, 基本可以排除sharding JDBC的问题.就是问题原因的关键.然后在新的SQL后面拼接, 这里的源码如下, orderBy中是入参中的排序规则。
Mybatis中xml配置文件order by字段注意事项
qq_56742368的博客
08-26 505
Mybatis中如果使用#符引用参数,会自动在参数两端加引号,导致排序失效,因此Mybatis中使用Order By时一定使用$符号!因为使用错误也不会报错,因此可能不容易发现。
xxxMapper.xml中编写sql语句时有order by的注意点
weixin_44027397的博客
03-12 2968
项目场景: 项目场景:根据输入的id集合查找数据库中符合的id并按照输入id集合的顺序输出 问题描述: 在编写如下xml语句时 <select id="selectRank" parameterType="java.util.List" resultType="com.betterlf.myblog.entity.Blog"> select * from m_blog where id in <foreach
Mybatis中的mapper.xml文件学习和使用
哈工大许政的博客
02-20 1万+
Mybatis中的mapper.xml文件学习和使用 本文是基于Windows 10系统环境,进行Mybatis中的mapper.xml的学习和使用 Windows 10 Mybatis 一、mapper.xml书写规范 (1) select语句 <select id="getUserByMap" parameterType="java.util.Map" resultType="ja...
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
order by 加参数问题
fredlau 痞子刘的博客
12-14 1072
create proc sp_proc_paixu@orderby varchar(50)asbegin declare @str varchar(100) set @str=select top 5 * from news_class order by + @orderby exec (@str)  end exec sp_proc_paixu class_id 
jdbc中PreparedStatement不定参数的小技巧
夢の殇
03-27 1万+
jdbc中PreparedStatement对不定参数的进行设参预编译的小技巧
看一遍就理解:order by详解
weixin_45017098的博客
06-26 1164
日常开发中,我们经常会使用order by,亲爱的小伙伴,你是否知道order by 的工作原理呢?order by的优化思路是怎样的呢?使用order by有哪些注意的问题呢?本文将跟大家一起来学习,攻克order by~
where后面不能order by 子句
06-01
是的,WHERE子句和ORDER BY子句都是SQL语言中常用的子句。WHERE子句用于筛选行,而ORDER BY子句用于对行进行排序。一般情况下,WHERE子句会先执行,然后再执行ORDER BY子句。在使用ORDER BY子句时,需要指定要排序的列和排序的方式(升序ASC或降序DESC)。例如,可以使用以下语句来按照销售额对销售订单进行排序: ``` SELECT order_id, customer_name, order_date, order_amount FROM sales_orders WHERE order_date >= '2021-01-01' AND order_amount > 1000 ORDER BY order_amount DESC; ``` 该语句会筛选出订单日期在2021年以后且订单金额大于1000的销售订单,并按照订单金额从大到小进行排序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值