Mybatis关于动态排序 #{} ${}问题

Mybatis动态排序 #{} ${}问题

在写Mybatis动态排序是遇到一个问题,开始,我是这样写的

1
    order by t.#{orderField}  #{orderType}

发现报错,后来经过查阅资料发现,用#{}会多个’ ‘导致SQL语句失效。

就是说,向上面这样的,连续使用#{}进行注入的,会导致SQL语句失效。

所以,改成${}注入就可以了

1
    order by t.${orderField}  ${orderType}

通过动态排序理解#{}和${}的区别

在日常开发中,尤其是在数据列表展示中,排序是最基本的功能。一般根据创建时间倒叙,但有可能碰到动态排序的需求。

接下来,我们将围绕由后台动态排序进行探讨

例如

现在,我们要查询一张店长表tb_director,我们在原有的父类中,新定义两个字段

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
import com.fasterxml.jackson.annotation.JsonFormat;
import com.fasterxml.jackson.annotation.JsonIgnore;
import java.io.Serializable;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
 
/**
 * Entity基类
 *
 * @author 进击的Java君
 */
public class BaseEntity implements Serializable
{
    private static final long serialVersionUID = 1L;
 
    /** 排序列*/
    private String orderField;
 
    /** 排序规则,升降序*/
    private String orderType;
 
    /** 搜索值 */
    private String searchValue;
 
    /** 创建者 */
    private String createBy;
 
    /** 创建时间 */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date createTime;
 
    /** 更新者 */
    private String updateBy;
 
    /** 更新时间 */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date updateTime;
 
    /** 备注 */
    private String remark;
 
    /** 开始时间 */
    @JsonIgnore
    private String beginTime;
 
    /** 结束时间 */
    @JsonIgnore
    private String endTime;
 
    /** 请求参数 */
    private Map params;
}
 
/**
 * 店长表
 * @author 进击的Java君
 * @date 2021-03-18
 */
@Entity
@Getter
@Setter
@Table(name = "tb_director")
public class Director extends BaseEntity {
     
     /** 主键id */
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    
     /** 店铺名称 */
    @Column(name = "director_name", unique = true)
    private String directorName;
 
    /** 店铺地址 */
    @Column(name = "director_adress", unique = true)
    private String directorAdress;
}

现在,我们只需要在mapper.xml中加上sql过滤条件即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
   
   
     select id, director_name,director_adress,director_num,director_create_time,director_up_time,openId
         from tb_director
   
   
   
          
              
                      AND director_name like concat('%', #{directorName}, '%')
              
              
                      AND openId=#{openId}
             
                 
                      AND id=#{id}
             
             
                      AND date_format(directorCreateTime,'%y%m%d') >= date_format(#{beginTime},'%y%m%d')
             
             
                      AND date_format(directorCreateTime,'%y%m%d') <= date_format(#{endTime},'%y%m%d')
             
             
             
             
                        order by ${orderField}  ${orderType}
             
         
   
   
                 
                 
        

持久层代码编完后,我们只需要在调用时,传入我们想进行排序的字段即可。

如下所示:

127.0.0.1:8080/api/director/sel?orderField=director_create_time&orderType=desc

但是这样的话,就需要我们对表中的字段非常清楚,如果觉得这样不舒服的话,我们可以对sql进行修改

1
2
3
4
5
6
7
8
9
10
11
12
    order by
     
         
            director_name ${orderType}
         
         
            openId ${orderType}
         
         
            create_time ${orderType}
         
     

注意事项

使用这样连续拼接两个注入参数时,只能用${},不能用#{}。

如果使用#{orderField},则会被解析成ORDER BY “orderField”,这显然是一种错误的写法。

  • $ 符号一般用来当作占位符
  • #{}是sql的参数占位符,Mybatis会将sql中的#{}替换为?号,在sql执行前会使用PreparedStatement的参数设置方法,按序给sql的?号占位符设置参数值。

预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持IT俱乐部。

本文收集自网络,不代表IT俱乐部立场,转载请注明出处。https://www.2it.club/code/java/7060.html
上一篇
下一篇
联系我们

联系我们

在线咨询: QQ交谈

邮箱: 1120393934@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

返回顶部