Mybatis使用order by排序使用#无法正确执行的解决之#与$的区别

最新推荐文章于 2024-09-21 23:33:54 发布
最新推荐文章于 2024-09-21 23:33:54 发布
阅读量1w 收藏 17
点赞数 6
CC 4.0 BY-SA版权
分类专栏: mybatis 文章标签: mysql 数据库 mybatis动态sql sql #
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mint6/article/details/78039935
本文探讨了在MyBatis中使用动态SQL时遇到的问题:通过#{variable}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天遇到一个问题,mysql数据库使用mybatis在mapper.xml写动态sql  order by无法正确使用,没有报错,看日志也是传入了值

后来自己修改order by传入的值,发现对sql没有影响,说明这个sql没有正确执行

首先sql是这样写的

order by #{ORDER_BY}

外部定义是 

private static final String ORDER_BY = "name ASC";

查看日志 

 Parameters: name ASC(String), 0(Integer), 10(Integer)

看到ORDER_BY的确传进来了,就是这个name ASC(String),但是它是String类型的,这时sql语句为 order by "name ASC",

大家可以在mysql里面直接这样写写,sql语句会执行,但是没有作用,也不会报错

下面改成

order by ${ORDER_BY}
查看日志 

Parameters: 0(Integer), 10(Integer)

没有了name ASC(String)   但是结果正确执行了


网上查找资料:

(1)对于形如#{variable} 的变量,Mybatis会将其视为字符串值,在变量替换成功后,缺省地给变量值加上引号。"variable"

 (2)对于形如${variable}的变量,Mybatis会将其视作直接变量,即在变量替换成功后,不会再给其加上引号。     variable

 所以在动态sql中,#{variable} 需要去掉 "",比如正常sql赋值一般是这样的and name= #{name},因为是=赋值,所以会获取内容,去掉""

${variable}可以直接使用,比如order by ${name}   传入的直接是name,不带双引号,可以直接使用,

并且order by不是 =赋值,所以如果直接order by #{name},结果是order by "name",自然无法执行了


总结#{variable} 传入字符串,可以在日志查看到传入的参数,需要赋值后使用,可以有效防止sql注入

${variable}是直接传入变量,在日志查看不到传入的变量,直接在sql中执行,无法防止sql注入

所以,尽量用#{variable}格式,如果不是类似=赋值后再使用的sql,需要使用${variable}


网上还说有<![CDATA[]]>内需要注意#与$的区别,暂时没遇到,先备注一下。




mybatis order by 排序
xiaofanren1111的博客
03-07 2万+
使用MyBatis解析xml进行排序的时候,遇见排序无效的问题!#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。如:order by #{user_id},如果传入的值是111,那么解析成sql时的值为order by “111”, 如果传入的值是id,则解析成的sqlorder by “id”。$将传入的数据直接显示生成在sql中。如:order by ${user_id},...
18.<Mybatis补充($#区别+数据库连接池)>
m0_73456341的博客
10-23 1954
详解了 1.$#区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MybatisOrder By 不能使用#
一个技术菜鸟的博客
08-22 3563
mybatis使用#号可以防止SQL注入,但是order by却不能使用#而必须使用$,这是为什么呢? 测试环境: CREATE TABLE `t2` ( `id` INT(10) UNSIGNED NOT NULL AUTO_INCREMENT, `value` VARCHAR(50) NULL DEFAULT '0', PRIMARY KEY (`id`) ) ENGINE=InnoDB ; mysql> select * from t2; +----+-------+ | id | va
Mybatis order by
chicuoang4118的博客
12-10 206
ibatis#$符号的区别,传入字符串而不加引号1.#是把传入的数据当作字符串,如#field#传入的是id,则sql语句生成是这样,orderby"id",这当然会报错.2.$传入的数据直接生成在sql里,如#field#传入的是id,则sql语句生成是这样,orderbyid...
MyBatis排序使用order by 动态参数时需要注意,用$而不是#, #{}和${}的区别以及order by注入问题
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号''
Mybatis动态order by 传参#$区别
qq_44739966的博客
11-11 823
${}字符串替换 #{}预编译,防止注入攻击 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或
Mybatis#{}和${}传参的区别#$区别小结
09-02
MyBatis框架中,`#{}`和`${}`是两种不同的参数占位符,它们在处理传参时有着显著的差异,同时也关联到`#`和`$`的区别。理解这些差异对于编写安全且高效的SQL查询至关重要。 首先,`#{}`是MyBatis的预编译参数占位...
MyBatis】(MyBatis 其他查询操作 多表查询 #{} 和 ${} 排序功能 like 查询 #{} 和 ${} 的区别 数据库连接池)
m0_68800221的博客
04-21 945
在这个例子中,虽然拼接看起来是连续的,但在实际编程中,可能需要确保字符串连接后没有多余的空格或缺少必要的空格。: 每次执行SQL语句, 要先创建⼀个新的连接对象, 然后执⾏SQL语句, SQL语句执行完, 再关闭连接对象释放资源. 这种重复的创建连接, 销毁连接比较消耗资源。预编译SQL,编译⼀次之后会将编译后的SQL语句缓存起来,后⾯再次执⾏这条语句时,不会再次编译(只是输⼊的参数不同), 省去了解析优化等过程, 以此来提高效率。中的内容是直接拼接到SQL语句中的,不会经过MyBatis的预编译处理。
Mybatis排序无效问题解决.doc
03-20
使用Mybatis框架进行数据库操作时,有时会遇到排序功能无法正常工作的现象。本篇文章旨在深入解析这一问题,并提供有效的解决方案。 #### 问题描述 在实际开发过程中,当尝试通过动态SQL的方式实现排序功能时,...
MyBatis - #{} 和 ${}
m0_74859835的博客
09-21 896
mybatis - #{ } 和 ${ } 的使用区别,预编译SQL 和 即时SQL 的优缺点,及SQL注入问题
Mybatis xml中排序(order by)条件用#{}查询失败
简单-生活
01-10 1742
Mybatis${}和#{}的区别:https://blog.youkuaiyun.com/BBQ__ZXB/article/details/127089187。处理简单分页时,发现从外部传入的排序条件无法生效,但程序无报错,正常返回列表,只是排序条件不对;1、当查询语句使用#{},例如传入"update_date desc"排序条件,生成语句如下。#{}表示一个占位符,当#{}传入的数据是一个字符串时,会自动将传入的数据加一个双引号。使用${}将传入的数据直接显示生成在sql中;
Mybatis的Mapper.xml的order by 排序
kuguhuan的博客
04-06 3977
使用$不能使用# $方式一般用于传入数据库对象,例如传入表名。 一般能用#的就别用$
mybatis#{}和${}的区别以及order by注入问题
angyuhh07719的博客
06-13 330
一、问题 根据前端传过来的表格排序字段和排序方式,后端使用的mybaits select XXXX from table order by #{column} #{desc} 如上面的形式发现排序没有生效,查看打印的日志发现实际执行sql为,排序没有生效 select XXXXX from table order by "column" "desc" 二、原因分析 主要还是对mybat...
Mybatis中xml配置文件order by字段注意事项
qq_56742368的博客
08-26 820
Mybatis中如果使用#符引用参数,会自动在参数值两端加引号,导致排序失效,因此Mybatis使用Order By时一定使用$符号!因为使用错误也不会报错,因此可能不容易发现。
Mybatis xml orderby 排序字段不生效问题
zlp1992的专栏
02-19 3401
今天想实现一个功能,根据给定的字段,以及是否升降序来对数据动态排序,xml实现如下 order by #{orderBy} #{orderType} <if test="pageSearch!=null and 'true'.toString() == pageSearch.toString()"> limit #{limit} offset #{offse...
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 3万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
Mybatis ORDER BY 排序失效 & ORDER BY CASE WHEN THEN 排序问题
Muxiu
08-19 4253
如果传递给 mapper 的参数值是以#{test_参数}的形式,那么就会报错具体如下:传递参数是name排序规则是升序
mybatis $#区别
最新发布
05-08
<think>好的,用户想了解MyBatis#$区别及用法。我之前学过的相关知识需要回顾一下。首先,记得#是预编译处理,$是字符串替换。不过具体细节可能需要再确认。 根据引用内容,比如引用[1]提到#$是参数占位符,处理机制不同。引用[4]详细说明#{}可以防止SQL注入,使用PreparedStatement的set方法,而$是直接替换,可能有注入风险。用户可能需要知道两者的核心区别,包括安全性、处理方式和使用场景。 我应该先分点说明两者的差异,比如处理机制、安全性、性能和应用场景。同时需要举例说明,这样更清晰。比如,用#的时候,参数会被预编译为?,而$直接替换成字符串。例如,在order by的场景下,可能需要用$,但要注意风险。 还要注意用户可能在实际使用中遇到的问题,比如什么时候必须用$,虽然不安全但必要的情况。同时,要强调预防SQL注入的重要性,推荐优先使用#。可能需要给出代码示例,比如在XML中的SQL写法差异。 另外,引用[3]提到了MyBatis执行入口,可能涉及底层原理,比如#会生成PreparedStatement,而$生成Statement。这点对理解区别有帮助,可以简单提及。 最后,生成相关问题时要覆盖原理、应用场景、安全措施和替换情况。用户可能需要进一步了解如何避免$的风险,或者动态SQL的其他方法,比如使用OGNL表达式或其他MyBatis标签。 需要确保回答结构清晰,先总述区别,再分点详细说明,每个点都结合例子,最后总结使用建议。同时检查LaTeX格式是否正确,比如变量用$包裹,但系统级指令要求行内数学表达式用$...$,这里可能不需要,但要注意用户的问题中是否有数学内容,这里没有,所以可能不需要处理。不过代码块要用正确的格式,比如SQL示例和Java代码。 现在整理回答,确保每个部分符合用户的要求,引用正确,并且在适当的位置添加引用标记。例如,在提到预编译处理时引用[4],在提到执行入口时引用[3]。</think>### MyBatis#$区别及用法解析 #### 一、核心区别 1. **处理机制** - **`#{}`**:基于预编译的占位符,参数会被替换为`?`,并通过`PreparedStatement`的`setXXX()`方法赋值,生成安全的SQL语句[^4]。 - **`${}`**:基于字符串替换,直接将参数值拼接为SQL语句,可能引发SQL注入风险[^2]。 2. **安全性** - **`#{}`**:自动转义特殊字符(如单引号),防止SQL注入。 - **`${}`**:直接拼接原始值,若参数来自用户输入,需手动过滤危险字符。 3. **性能** - **`#{}`**:预编译的SQL可被数据库缓存,提升重复执行效率[^4]。 - **`${}`**:每次生成新SQL,无缓存优势。 --- #### 二、使用场景对比 | 场景 | `#{}`适用性 | `${}`适用性 | 示例 | |--------------------|-------------|-------------|--------------------------------------------------------------| | **普通参数传递** | ✅ | ❌ | `SELECT * FROM users WHERE id = #{userId}` | | **动态表名/列名** | ❌ | ✅ | `SELECT ${column} FROM ${tableName}` | | **ORDER BY排序** | ❌ | ✅ | `SELECT * FROM products ORDER BY ${sortField} ${sortOrder}` | | **LIKE模糊查询** | ✅(需拼接) | ❌ | `WHERE name LIKE CONCAT(&#39;%&#39;, #{keyword}, &#39;%&#39;)` | --- #### 三、底层原理 - **`#{}`**:通过`ParameterHandler`处理参数,生成`PreparedStatement`,执行时替换占位符[^3]。 - **`${}`**:在SQL解析阶段直接替换为字符串,生成`Statement`对象[^3]。 --- #### 四、代码示例 ```xml <!-- 安全用法:使用#{}传递参数 --> <select id="getUserById" resultType="User"> SELECT * FROM users WHERE id = #{userId} </select> <!-- 风险用法:使用${}动态拼接列名 --> <select id="getDynamicColumn" resultType="map"> SELECT ${columnName} FROM products </select> ``` --- #### 五、使用建议 1. **优先使用`#{}`**:确保安全性和性能。 2. **谨慎使用`${}`**:仅在动态表名、列名或SQL关键字无法用`#{}`实现时使用,且需手动校验参数来源。 3. **防注入措施**:若必须用`${}`,可通过白名单校验参数内容(如固定枚举值)。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值