mybatis框架order by作為參數傳入時失效的解決
mybatis order by作為參數傳入失效
mxl中的語句如下
<select id="statToday" resultType="com.dahua.la.business.model.vo.StatSysResultVO"> select a, b, count(1) as total from table where a is not null and b is not null and operateTime >= #{startTime,jdbcType=TIMESTAMP} and operateTime <= #{endTime,jdbcType=TIMESTAMP} group by a, b order by <foreach collection="orderItems" item="item" separator=","> #{item.orderBy} #{item.order} </foreach> </select>
運行時通過日志打印出sql日志如下
select a, b, count(1) as total from table where a is not null and b is not null and operateTime >= ? and operateTime <= ? group by a, b order by ? ?
把參數補充上拿到Navicat執行的時候,完全沒有問題,排序也正常。
但是在代碼裡執行就是不行, 最後的排序完全沒有生效。
實際上,我補上參數的時候漏瞭引號,因為#{item.orderBy}會對傳入的數據加一個引號,如果帶著引號去Navicat執行,也是排序不生效的。
問題原因找到瞭
直接替換成使用${item.orderBy}形式,單純的字符串替換不加引號。
<foreach collection="orderItems" item="item" separator=","> ${item.orderBy} ${item.order} </foreach>
此時程序正常。
MyBatis排序時使用order by 動態參數時需要註意,用$而不是#
字符串替換
默認情況下,使用#{}格式的語法會導致MyBatis創建預處理語句屬性並以它為背景設置安全的值(比如?)。
這樣做很安全,很迅速也是首選做法,有時你隻是想直接在SQL語句中插入一個不改變的字符串。
比如,像ORDER BY,你可以這樣來使用:
ORDER BY ${columnName}
這裡MyBatis不會修改或轉義字符串。
重要:
接受從用戶輸出的內容並提供給語句中不變的字符串,這樣做是不安全的。
這會導致潛在的SQL註入攻擊,因此你不應該允許用戶輸入這些字段,或者通常自行轉義並檢查。
以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。
推薦閱讀:
- mybatis update更新字段的使用操作
- 基於mybatis 動態SQL查詢總結
- MyBatis傳入參數為List對象的實現
- mybatis in查詢傳入String方式
- MyBatis中關於SQL的寫法總結