您好,登錄后才能下訂單哦!
本篇內(nèi)容介紹了“解決mybatis框架order by參數(shù)傳入失效的方法”的有關(guān)知識(shí),在實(shí)際案例的操作過程中,不少人都會(huì)遇到這樣的困境,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!
mxl中的語句如下
<select id="statToday" resultType="com.dahua.la.business.model.vo.StatSysResultVO"> select a, b, count(1) as total from table where a is not null and b is not null and operateTime >= #{startTime,jdbcType=TIMESTAMP} and operateTime <= #{endTime,jdbcType=TIMESTAMP} group by a, b order by <foreach collection="orderItems" item="item" separator=","> #{item.orderBy} #{item.order} </foreach> </select>
運(yùn)行時(shí)通過日志打印出sql日志如下
select a, b, count(1) as total from table where a is not null and b is not null and operateTime >= ? and operateTime <= ? group by a, b order by ? ?
把參數(shù)補(bǔ)充上拿到Navicat執(zhí)行的時(shí)候,完全沒有問題,排序也正常。
但是在代碼里執(zhí)行就是不行, 最后的排序完全沒有生效。
實(shí)際上,我補(bǔ)上參數(shù)的時(shí)候漏了引號(hào),因?yàn)?{item.orderBy}會(huì)對(duì)傳入的數(shù)據(jù)加一個(gè)引號(hào),如果帶著引號(hào)去Navicat執(zhí)行,也是排序不生效的。
直接替換成使用${item.orderBy}形式,單純的字符串替換不加引號(hào)。
<foreach collection="orderItems" item="item" separator=","> ${item.orderBy} ${item.order} </foreach>
此時(shí)程序正常。
字符串替換
默認(rèn)情況下,使用#{}格式的語法會(huì)導(dǎo)致MyBatis創(chuàng)建預(yù)處理語句屬性并以它為背景設(shè)置安全的值(比如?)。
這樣做很安全,很迅速也是首選做法,有時(shí)你只是想直接在SQL語句中插入一個(gè)不改變的字符串。
比如,像ORDER BY,你可以這樣來使用:
ORDER BY ${columnName}
這里MyBatis不會(huì)修改或轉(zhuǎn)義字符串。
重要:
接受從用戶輸出的內(nèi)容并提供給語句中不變的字符串,這樣做是不安全的。
這會(huì)導(dǎo)致潛在的SQL注入攻擊,因此你不應(yīng)該允許用戶輸入這些字段,或者通常自行轉(zhuǎn)義并檢查。
“解決mybatis框架order by參數(shù)傳入失效的方法”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。