Mybatis中使用动态标签实现order by多字段排序

最新推荐文章于 2024-05-21 14:39:26 发布
原创 最新推荐文章于 2024-05-21 14:39:26 发布 · 5.5k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mysql #sql #mybatis #java #springboot

该博客介绍了如何利用Mybatis的动态标签来构建SQL查询,避免使用`${}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 查看了许多文章,发现都是使用${}的方法去实现,如果不进行过滤会有sql注入的风险,于是想了一种使用单纯使用Mybatis动态标签实现的方法

    <select id="selectProductList" parameterType="ProductListQuery">
        SELECT * from product
        <if test="productSaleDesc != null or productScoreDesc != null or productPriceDesc != null or createTimeDesc != null">
            <trim prefix="order by" suffixOverrides=",">
                <if test="productSaleDesc != null and productSaleDesc == 0">
                    product.product_sale DESC,
                </if>
                <if test="productSaleDesc != null and productSaleDesc == 1">
                    product.product_sale ASC,
                </if>
                <if test="productScoreDesc != null and productScoreDesc == 0">
                    product.product_score DESC,
                </if>
                <if test="productScoreDesc != null and productScoreDesc == 1">
                    product.product_score ASC,
                </if>
                <if test="productPriceDesc != null and productPriceDesc == 0">
                    product.product_price DESC,
                </if>
                <if test="productPriceDesc != null and productPriceDesc == 1">
                    product.product_price ASC,
                </if>
                <if test="createTimeDesc != null and createTimeDesc == 0">
                    product.create_time DESC,
                </if>
                <if test="createTimeDesc != null and createTimeDesc == 1">
                    product.create_time ASC,
                </if>
            </trim>
        </if>
    </select>

mybatis order by 多个_【框架】119:mybatis框架最后一天
weixin_39924481的博客
12-20 402
今天是刘小爱自学Java的第119天。感谢你的观看,谢谢你。学习内容安排如下:昨天没有学完的多对多查询补充。resultMap标签的继承问题。mybatis中的延迟加载。colum属性的一个补充说明。一、多对多查询案例:查询订单,查询出下单人信息并且查询出订单详情中的商品数据。1业务分析一共有4张表,都是基于订单表的,我们再次梳理下它们的关系:一对一:订单和用户的关系,所以在订单类中封装...
mybatis 中对于 order by 动态排序的处理
从入门到放弃
03-23 797
首先字段名不知道,数量不确定,同时既要可以做到准确查询出结果,又要防止注入情况的发生,我是在网上没找到合适的解决方案。显然注入不了,因为这句sql 执行的结果是 查询 ctaname为 "Tom or 1=1" 这个字符的结果集,有就是有,没有就是没有。这样一种 or (或)的查询条件,显然 1=1 始终为真,则会查询出对应表中的所有数据,这不就是简单的注入情况了吗?比如最近有兄弟咨询,我需要动态的根据调用方法传递的比如 排序字段来进行排序排序字段不知道,数量也不确定)。可以进行正常的排序
MyBatisPlus条件构造器带条件排序方法orderByorderByDesc、orderByAsc使用示例代码
04-24
MyBatisPlus条件构造器带条件排序方法orderByorderByDesc、orderByAsc使用示例代码
mybatis常用标签
weixin_34281477的博客
04-20 2192
1. 定义sql语句 1.1 select 标签  属性介绍: id :唯一的标识符. parameterType:传给此语句的参数的全路径名或别名 例:com.test.poso.User或user resultType :语句返回值类型或别名。注意,如果是集合,那么这里填写的是集合的泛型,而不是集合本身(resultType 与resultMap 不能并用) &lt...
mybatis的映射xml中动态设置orderby
左直拳的马桶_日用桶
08-20 5189
mybatis的dao xml中,根据参数值设置不同的order by字段。 dao java List<DzRainDetail> queryDetail(@Param("masterId") int masterId, @Param("country") String country, @Param("sort") String sort); 第三个参数“sort”用于决定如何写这个order by。 dao XML <select id="queryDetail" result
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 3万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
使用 JavaMyBatis 实现动态排序的多表查询
清晨qc的博客
05-21 781
在Web开发中,前端通常会传递一些参数来决定数据的排序方式,例如排序字段和排序方向。本文将展示如何在 Java 项目中结合 MyBatis 实现动态排序,尤其是在涉及多表查询的情况下。我们将重点关注如何处理从前端传递的驼峰命名法字段,并将其转换为 SQL 能识别的下划线命名法字段。命名转换:通过工具类将驼峰命名法转换为下划线命名法。动态 SQL 拼接:在 MyBatis Mapper XML 配置和接口中使用动态 SQL。控制器处理:接收前端参数并调用相应的服务进行查询。
Mybatis排序无效问题解决.doc
03-20
在实际开发过程中,当尝试通过动态SQL的方式实现排序功能时,可能会遇到一个常见问题:使用`order by #{sortInfo}`进行排序时,发现查询结果并未按照预期排序。例如,若传入的排序参数为`empno desc`,则期望的结果...
Mybatis实例】实现动态表头数据 (动态行专列)、对动态表头字段排序
HO1_K的博客
10-24 2552
mybatis实现 整体表格的动态获取 实现动态表头数据的获取 动态行专列 动态表头字段的排序
Mybatis多字段排序
chenheheyang的博客
08-16 1万+
        从前学习Spring开发的时候写过一个Web系统,后端采用Spring+SpringMVC+MyBatis,前端使用BootStrap和LigerUI,业务数据采用LigerUI的LigerGrid进行展示,由于LigerGrid只能支持单字段排序,有些时候业务需要进行多字段排序,刚好也准备重新换一下前端界面效果和框架,最近刚好看了下EasyUI,发现EasyUI是可以支持多字段排...
mybatis order by 多个_【Java劝退师】MyBatis 知识脑图 - ORM持久层框架
weixin_39668470的博客
11-30 275
MyBatis 笔记一、解决的问题(原生 JDBC 存在) 数据库配置消息 存在硬编码问题 - 配置文档(不常变动)频繁创建、释放数据库连接,造成资源浪费 - 连接池SQL语句、参数设置、获取结果集 存在硬编码问题 - 配置文档(常变动)手动封装结果集,较为繁琐 - 反射、内省注: 常变动 与 不常变动 的配置文档要分开存放二、名词解释反射: 在程序运行时,可以动态获取到某个对象所有的属性及方法,...
数据库篇-07-技术11-sql -order by-组内排序-mybatis 多字段应用组内排序
qq_38348952的博客
05-29 723
组内排序及规则:大致就是多个排序字段同时生效,且有优先级之说: (1)在MySql中,使用 ASC 或 DESC 关键字来设置查询结果是按升序或降序排列。 (2)尤其非常特别重要:默认按升序(ASC)排列。 (3)order by 后可加2个(或多个)字段,字段之间用英文逗号隔开。 (4)若A用升序,B用降序,SQL该这样写:order by A ASC, B DESC; 默认同理,也可以这样写:order by A, B DESC; (5)若A、B都用降序,必须用两个DESC,order by A DES
java mybatis order by多条件排序
weixin_42116127的博客
12-04 5071
第一种方式 <if test="orderBy != null"> order by <choose> <when test='orderBy=="age"'>age</when> <when test='orderBy=="size"'>size</when> <when test='orderBy=="price"'>price</when>
mybatis 多个字段动态排序
chengchong_cc的博客
04-11 763
第一步:在实体类中添加字段sortMap。第二步:在映射文件中添加如下代码。
Javamybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
DreamSun的博客
07-21 3849
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected ‘EOF’, got ‘#’ at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。
mybatis 多字段排序_mybatis example排序
weixin_29414105的博客
02-17 2617
背景使用mybatis example方式做查询时候,业务需要按照条件排序,比如:创建时间倒序example.setOrderByClause("create_time desc");示例:@Overridepublic UpgradeNotifyInfoDTO queryLatestNotify(Integer appType) {UpgradeNotifyInfoDTO notifyDTO=n...
mybatis order by 多个_java程序员跳槽的一道坎,大公司面试官都会问的Mybatis
weixin_40006185的博客
12-24 603
一、什么是Mybatis?1. Mybatis是一个半ORM(对象关系映射)框架,它内部封装了JDBC,开发时只需要关注SQL语句本身,不需要花费精力去处理加载驱动、创建连接、创建statement等繁杂的过程。程序员直接编写原生态sql,可以严格控制sql执行性能,灵活度高。2. MyBatis 可以使用XML或注解来配置和映射原生信息,将POJO映射成数据库中的记录,避免了几乎所有的JDBC代...
MyBatis中如何安全处理动态排序字段?
最新发布
03-26
<think>嗯,用户问的是MyBatis中如何处理动态排序字段,避免SQL注入。这个问题我之前接触过,但需要仔细回忆一下相关知识。首先,SQL注入通常是因为用户输入被直接拼接到SQL语句中,导致恶意代码执行。MyBatis中常用的#{}可以防止注入,因为它是预编译的,参数会被转义。但动态排序字段的问题在于,通常排序字段名和方向(ASC/DESC)不能使用预编译的占位符,因为表名和列名不能作为参数绑定,只能通过字符串拼接,这时候就容易出现注入风险。 记得用户提供的引用中有提到,使用#{}会导致order by失效,所以必须用${},但${}是直接拼接,存在风险。比如引用[3]提到在BO对象中定义排序参数,但需要过滤。那如何安全处理呢? 首先,可能需要白名单验证。比如在代码中预先定义允许排序的字段列表,当用户传入的排序字段不在列表中时,拒绝或使用默认值。同样,排序方向只能是ASC或DESC,可以强制转成大写,并检查是否在这两个值中。这样即使攻击者传入恶意内容,也会被过滤掉。 另外,引用[4]中的例子显示直接拼接参数会导致注入,比如传入“'测试' or 1=1”,如果使用${}就会有问题。所以在动态排序中必须严格校验字段名和排序方向。 可能还有其他的方法,比如使用枚举类型限制可选的排序字段,或者在XML映射文件中使用动态SQL标签(如<choose>、<when>)来根据参数选择不同的排序方式。但需要确保这些参数是经过校验的。 此外,引用[3]提到在BO对象中定义排序参数,但需要过滤,这可能是指在后端对传入的column和order参数进行检查,确保其合法性。例如,将column与允许的字段列表比较,order只能是ASC或DESC。 总结来说,处理MyBatis动态排序字段的安全措施主要包括白名单校验、参数过滤、使用安全的动态SQL标签以及结合预编译的语句。需要确保用户输入的排序字段和方向都是经过严格校验的,避免直接拼接不可信的数据。 可能还需要考虑数据库层面的安全措施,比如权限控制,但主要还是在应用层处理。另外,代码审计也很重要,确保没有遗漏的拼接点,引用[2]提到通过SqlSession操作数据库,所以需要检查所有使用${}的地方是否做了安全处理。 最后,最佳实践应该是结合白名单和强制校验,确保动态部分的安全性,同时使用安全的编码习惯,避免不必要的风险。</think>在MyBatis中安全处理动态排序字段需结合参数校验与框架特性,以下是具体防护措施及最佳实践: --- ### 一、SQL注入风险来源 当使用`${column}`直接拼接字段名时,若未过滤用户输入,可能被注入恶意代码。例如: ```sql ORDER BY ${column} ${order} -- 直接拼接参数 ``` 攻击者可构造`column=1; DROP TABLE users--`导致灾难性后果[^4]。 --- ### 二、安全处理方案 #### 1. 白名单校验(核心措施) **实现步骤:** - 定义允许排序的字段集合(如:`["id","name","create_time"]`) - 对用户传入的`column`参数进行校验 - 校验排序方向`order`仅允许`ASC`/`DESC` ```java // 示例:Java参数校验 public void validateSortParam(String column, String order) { Set<String> allowedColumns = Set.of("id", "name", "create_time"); if (!allowedColumns.contains(column)) { throw new IllegalArgumentException("非法排序字段"); } if (!"ASC".equalsIgnoreCase(order) && !"DESC".equalsIgnoreCase(order)) { throw new IllegalArgumentException("非法排序方式"); } } ``` #### 2. XML映射文件动态控制 使用`<choose>`标签配合白名单实现安全动态SQL: ```xml <select id="selectUsers" resultType="User"> SELECT * FROM users ORDER BY <choose> <when test="column == 'id' and order == 'DESC'">id DESC</when> <when test="column == 'name' and order == 'ASC'">name ASC</when> <otherwise>create_time DESC</otherwise> </choose> </select> ``` #### 3. 结合枚举类型(Java 8+) 定义安全枚举限制参数范围: ```java public enum SafeSortColumn { ID("id"), NAME("name"), CREATE_TIME("create_time"); private final String dbColumn; // 构造方法、getter省略 } ``` --- ### 三、防御原理分析 1. **白名单校验**:通过预定义的合法值集合,消除不可控参数输入[^3] 2. **动态SQL控制**:在XML中硬编码合法排序组合,避免拼接不可信数据[^1] 3. **类型安全**:使用枚举或强类型参数传递,而非原始字符串[^2] --- ### 四、错误示例 vs 正确示例 | 错误用法 | 正确用法 | |---------|---------| | `ORDER BY ${column} ${order}` | `ORDER BY <choose>...</choose>` | | 未校验直接拼接参数 | 白名单+预定义组合 | --- ### 五、扩展应用 1. **审计建议**:代码审查时重点关注所有`${}`的使用场景 2. **日志监控**:记录动态排序参数的原始值,便于异常排查 3. **防御分层**:结合数据库权限控制(如:只读账户执行查询)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值