【Mybatis】【7】order by 使用动态参数时需要注意,用${}而不是#{}

最新推荐文章于 2024-09-21 23:33:54 发布
转载 最新推荐文章于 2024-09-21 23:33:54 发布 · 339 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/huashengweilong/p/10924936.html
文章标签:

#java

本文探讨了在MyBatis中使用动态参数进行排序的方法,强调了在ORDER BY子句中使用$而非#的重要性,避免SQL注入风险。通过具体代码示例,展示了如何正确设置动态排序字段。

正文:

-- 正确写法
SELECT * FROM TABLE WHERE ID = #{id} ORDER BY ${columnName} DESC

参考博客:

MyBatis排序时使用order by 动态参数时需要注意,用$而不是# - pyzheng - ITeye博客
https://panyongzheng.iteye.com/blog/2257412

转载于:https://www.cnblogs.com/huashengweilong/p/10924936.html

aizhu4795
关注
mybatis 中对于 order by 动态排序的处理
从入门到放弃
03-23 963
首先字段名不知道,数量不确定,同既要可以做到准确查询出结果,又要防止注入情况的发生,我是在网上没找到合适的解决方案。显然注入不了,因为这句sql 执行的结果是 查询 ctaname为 "Tom or 1=1" 这个字符的结果集,有就是有,没有就是没有。这样一种 or (或)的查询条件,显然 1=1 始终为真,则会查询出对应表中的所有数据,这不就是简单的注入情况了吗?比如最近有兄弟咨询,我需要动态的根据调用方法传递的比如 排序字段来进行排序排序字段不知道,数量也不确定)。可以进行正常的排序
18.<Mybatis补充($#的区别+数据库连接池)>
m0_73456341的博客
10-23 2074
详解了 1.$#的区别 2.数据库连接池。 3.简单了解MySQL企业开发规范
MyBatis排序使用order by 动态参数需要注意,用$不是#, #{}和${}的区别以及order by注入问题
热门推荐
Syd丶
05-23 1万+
ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查。 #{}相当于jdbc中的preparedstatement ${}是输出变量的值 简单的说就是#{}传过来的参数带单引号''
MyBatis排序使用order by 动态参数需要注意,用$不是#
pyzheng的专栏
11-17 2051
[url]http://blog.youkuaiyun.com/weibing_huang/article/details/7368556[/url] 字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ...
MyBatis排序使用order by 动态参数需要注意,用$不是#$传参,直接将参数的值放在sql语句中,如:
ahzxj2012的专栏
09-04 1万+
SELECT * FROM                       (SELECT A.*, ROWNUM RN FROM                             (SELECT * FROM t_OPENSOURCEAPKINFO where RECOMMEND =1 and VISIBILITY=2 ORDER BY  id id id id${orderKey
解决mybatis动态传入order by 参数的候不生效的问题
qq_29062045的博客
02-08 1167
http://blog.youkuaiyun.com/u012685794/article/details/52022417解决mybatis动态传入order by 参数的候不生效的问题字符串替换默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有你只是想直接在SQL语句中插入一个不改变的字符串。比如,像ORDER...
MyBatis${}和 #{}的正确使用方法(千万不要乱用)
08-18
只有在某些特殊场景,比如构建动态 SQL(例如动态生成 ORDER BY 子句),才考虑使用 ${}。对于批量查询,可以使用 foreach 元素来处理数组或集合,例如: ```xml select * from country where id in (" ...
mybatis动态sql之Map参数的讲解
08-26
MyBatis动态SQL中参数类型可以是Map类型的,在实际开发中,我们经常需要在Mapper文件中传递Map参数,以实现动态SQL的构建。今天,我们将详细讲解MyBatis动态SQL之Map参数的使用。 首先,让我们看一个简单的示例。在...
MyBatis - #{} 和 ${}
m0_74859835的博客
09-21 962
mybatis - #{ } 和 ${ } 的使用区别,预编译SQL 和 即SQL 的优缺点,及SQL注入问题
MyBatis】在 ORDER BY 中的 #{} 占位符的问题
qq_16226933的博客
07-22 962
Order by中的 #{} 标签不起作用,本文记录了两种解决方案。
排序(order by)
heibaikong6的博客
10-17 439
我们知道从 MySQL 表中使用 SQL SELECT 语句来读取数据。 如果我们需要对读取的数据进行排序,我们就可以使用 MySQL 的 ORDER BY 子句来设定你想按哪个字段哪种方式来进行排序,再返回搜索结果。 语法 你可以使用任何字段来作为排序的条件,从而返回排序后的查询结果。 你可以设定多个字段来排序。 你可以使用 ASC 或 DESC 关键字来设置查询结果是按升序或降序排列。 ...
mybatis#{}和${}的区别以及order by注入问题
薛秋艳的博客
02-16 1525
#{}相当于jdbc中的preparedstatement ${}是输出变量的值 #{} 去除变量的值自动转化为字符串 加上 '' ${} 里面的值直接取出来,不经过处理 不会给你加上'' 所以在mybatis中如果 是order by 或则 group by 某个字段的候 要用${} 二不能用#{} 简单说#{}是经过预编译的,是安全的,而
数据库中#{}和${}的区别,order by和limit后面${}替换的解决方案
m0_57640408的博客
01-21 3780
两者区别:#{}是预编译处理,${}是字符串替换 (1)mybatis在处理#{},会将sql中的#{}替换为?号,调用PreparedStatement的set方法来赋值,sql在解析的候会加上" ",当成字符串来解析。 例如:#{123456, jdbcType=INTEGER} 预编译成:select * from tableName where id = ? ; 再变成:select * from tableName where id = '123456' ; (2)mybatis在处..
Mybatis xml中排序(order by)条件用#{}查询失败
简单-生活
01-10 1837
Mybatis${}和#{}的区别:https://blog.youkuaiyun.com/BBQ__ZXB/article/details/127089187。处理简单分页,发现从外部传入的排序条件无法生效,但程序无报错,正常返回列表,只是排序条件不对;1、当查询语句使用#{},例如传入"update_date desc"排序条件,生成语句如下。#{}表示一个占位符,当#{}传入的数据是一个字符串,会自动将传入的数据加一个双引号。使用${}将传入的数据直接显示生成在sql中;
mybatis 没有引号_详解mybatis#$的区别及orderby注入问题
weixin_39711914的博客
12-05 324
详解mybatis#{}和${}的区别以及order by注入问题,因为标题无法加入{},所以我在文章内加了一下直奔主题..#{}相当于jdbc中的preparedstatement${}是输出变量的值你可能说不明所以,不要紧我们看2段代码:String sql = "select * from admin_domain_location order by ?";PreparedStatemen...
order by #{var} 与 order by var( #{} 与 ${} 的区别 )
HF0705的博客
09-14 264
mybatis#{} 与${} 的区别
总结order by
zyt1204732670的博客
07-08 294
先创建表再插入数据 create table student( id char(36) primary key, name varchar(8) not null, age int(3) default 0, mobile char(11), address varchar(150) ) insert into student values ('9b4435ec-372c-456a-b287-e3c5aa23dff4','张三',24,'12345678901','北京海淀'); inser
EL表达式的#{}接收order by排序字段报错
qq_44471588的博客
07-15 539
是不会加引号的,因为它传入是int型。而如果传入String用#{}加入到SQL语句中会自动加引号。总结如果用EL表达式传入的是用于字段比较的信息,$#都可以用,区别只是防范SQL注入的安全问题,至于两者之间安全性差别,老生常谈了这里不再赘述。而对于接收到的字符串,网上都说。会对传入的数据自动加引号,而实际测试发现是根据其类型判断是否加一个双引号。...
mybatis动态order by
最新发布
03-19
### MyBatis 动态生成 `ORDER BY` 子句 在 MyBatis 中,动态 SQL 是一种强大的功能,允许开发者根据条件灵活地构建 SQL 查询语句。为了实现动态排序(即动态生成 `ORDER BY` 子句),可以通过 `<if>` 和 `<choose>` 标签来控制排序字段和顺序的选择。 以下是通过 XML 配置文件实现动态 `ORDER BY` 的示例: ```xml <select id="selectWithDynamicOrderBy" resultType="User"> SELECT * FROM users WHERE 1=1 <!-- 动态 ORDER BY --> <if test="orderBy != null and orderBy.trim() != &#39;&#39;"> ORDER BY ${orderBy} </if> </select> ``` 上述代码片段展示了如何基于参数 `orderBy` 是否为空来决定是否应用 `ORDER BY` 子句[^1]。需要注意的是,在使用 `${}` 占位符要特别小心,因为它会直接拼接字符串到 SQL 中,可能会带来 SQL 注入风险。如果可能的话,建议验证输入并限制可接受的值列表。 当需要支持多个排序字段以及升序 (`ASC`) 或降序 (`DESC`) 排序,可以扩展逻辑如下所示: ```xml <select id="selectUsersWithComplexOrdering" resultType="User"> SELECT * FROM users WHERE 1=1 <!-- 多字段排序 --> <if test="sortFields != null and sortFields.size() > 0"> ORDER BY <foreach collection="sortFields" item="field" separator=", "> ${field.name} ${field.order} </foreach> </if> </select> ``` 在此复杂版本中,假设传入了一个名为 `sortFields` 的集合对象,其中每个元素都包含两个属性:`name` 表示列名,而 `order` 则表示排序方向(如 `"ASC"` 或 `"DESC"`)。此方法利用了 `<foreach>` 标签迭代所有排序字段,并用逗号分隔它们[^3]。 另外,也可以借助 MyBatis Dynamic SQL API 实现类似的动态行为。虽然目前其功能相对有限,但对于基本需求仍然适用。例如: ```java import static org.mybatis.dynamic.sql.SqlBuilder.*; public class UserMapper { public SelectStatementProvider selectWithDynamicOrderBy(List<SortField> sortFields) { return select(UserDynamicSqlSupport.*) .from(users) .orderBy(sortFields.stream() .map(field -> field.getOrder().equals("ASC") ? column(field.getName()).ascending() : column(field.getName()).descending()) .toArray(OrderSpecification[]::new)) .build() .render(RenderingStrategies.MYBATIS3); } } ``` 这里定义了一个 Java 方法用于创建带有动态排序的查询语句。该函数接收一个 `List<SortField>` 参数,其中每一个 `SortField` 对象代表一个单独的排序规则[^2]。 #### 注意事项 - 使用 `${}` 插入变量至 SQL 字符串可能导致安全漏洞,请务必校验用户提交的数据。 - 如果项目依赖于 mybatis-generator 自动生成 Mapper 层,则可通过自定义 Example 类进一步增强灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值