MyBatis排序时使用order by 动态参数时需要注意，用$而不是# - pyzheng - ITeye博客

`

pyzheng

浏览: 3362985 次
性别:
来自: 珠海

最近访客更多访客>>

kopomimi

oszerone

lindow

leisure0422

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

2016-06 ( 26)
2016-05 ( 32)
2016-04 ( 33)
更多存档...

最新评论

HEZR曾嶸：你好博主，这个不是很理解，能解释一下嘛//左边+1,上边+1, ...
java 两字符串相似度计算算法
天使建站：写得不错，可以看这里，和这里的这篇文章一起看，有 ...
jquery 遍历对象、数组、集合
xue88ming：很有用，谢谢
@PathVariable映射出现错误: Name for argument type
jnjeC：厉害，困扰了我很久
MyBatis排序时使用order by 动态参数时需要注意，用$而不是#
TopLongMan：非常好，很实用啊。。
PostgreSQL递归查询实现树状结构查询

MyBatis排序时使用order by 动态参数时需要注意，用$而不是#

博客分类：

Hibernate&MyBatis

阅读更多

http://blog.csdn.net/weibing_huang/article/details/7368556

字符串替换
默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，有时你只是想直接在SQL语句中插入一个不改变的字符串。比如，像ORDER BY，你可以这样来使用：
ORDER BY ${columnName}
这里MyBatis不会修改或转义字符串。
重要：接受从用户输出的内容并提供给语句中不变的字符串，这样做是不安全的。这会导致潜在的SQL注入攻击，因此你不应该允许用户输入这些字段，或者通常自行转义并检查。

1.MyBatis排序针对单字段排序
1.1 MyBatis排序时，ORDER BY 后的参数应该形如：ORDER BY ${sname} ${sord}
    sname ：排序字段
     sord ：排序顺序（ASC,DESC）
1.2 MyBatis排序时，ORDER BY 后的参数如果形如：ORDER BY #{sname} #{sord}
    sname ：排序字段
     sord ：排序顺序（ASC,DESC）
     则不能返回想当然正确的结果。

分享到：

静态网站生成器 Lektor | 资源: 优秀插件收集-布局,表格,分页,树 ...

2015-11-17 17:54
浏览 20009
评论(1)
分类:编程语言
查看更多

评论

1 楼 jnjeC 2016-12-01

厉害，困扰了我很久

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Mybatis现学现用: MyBatis排序时使用order by 动态参数时需要注意，用$而不是# 字符串替换默认情况下，使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值（比如?）。这样做很安全，很迅速也是首选做法，...

mybatis 动态sql及参数传递: 在实际开发过程中，我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误，Mybatis给开发者提供了动态SQL，大大降低了拼接SQL导致的错误。动态标签 if标签 if标签通常用那个胡where语句,update语句,insert...

MyBatis 需要注意的地方junit注解: 1.junit 常用注解 @Before 初始化方法，每次测试方法调用前都执行一次。 @After 释放资源：每次测试方法调用后都执行一次 ...6. 一般能用#的就别用$ MyBatis排序时使用order by 动态参数时需要注意，用$而不是#

MyBatisPlus条件构造器带条件排序方法orderBy、orderByDesc、orderByAsc使用示例代码: MyBatisPlus条件构造器带条件排序方法orderBy、orderByDesc、orderByAsc使用示例代码

MyBatis拦截器分页与动态修改SQL及其参数值: MyBatis拦截器分页与动态修改SQL及其参数值提取SQL Like 字段

### MyBatis动态SQL介绍说明、使用技巧和优缺点: mybatis动态sql

mybatis 日志 sql参数替换工具: 非常好用的，就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html

mybatis动态SQL语句: if 、where、set、trim、choose 、foreach等在mybatis中的具体用法，有具体实例可供参考，玩转mybatis

Mybatis下动态sql中##和$$的区别讲解: 今天小编就为大家分享一篇关于Mybatis下动态sql中##和$$的区别讲解，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧

基于Springboot+MyBatis-Plus实现多租户动态数据源模式源码.zip: 基于Springboot+MyBatis-Plus实现多租户动态数据源模式源码.zip 基于Springboot+MyBatis-Plus实现多租户动态数据源模式源码.zip 基于Springboot+MyBatis-Plus实现多租户动态数据源模式源码.zip 【备注】主要针对...

mybatis简单使用demo: mybatis简单使用mybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单使用demomybatis简单...

总结--Mybatis传递参数的几种方法: 总结了Mybatis传递参数的几种方式，并对几种方式进行比较，另外还有一些参数的限制说明

Mybatis Log（自动填充sql参数打印到控制台）: Mybatis Log（自动填充sql参数打印到控制台）

mybatis之动态SQL: mybatis之动态SQL

mybatis动态sql.zip: mybatis动态sql，动态sql解析引擎，类似mybatis动态sql的功能。 mybatis动态sql，动态sql解析引擎，类似mybatis动态sql的功能。mybatis动态sql，动态sql解析引擎，类似mybatis动态sql的功能。mybatis动态sql，...

mybatis动态sqlmybatis动态sqlmybatis动态sql: mybatis动态sql MyBatis是一种开源的持久层框架，它为Java程序员提供了一种简化数据库访问的方式。其中，动态SQL是MyBatis的一个重要特性，它允许用户根据不同的条件拼接SQL语句，从而实现更加灵活和可扩展的数据库...

MyBatis拦截器添加查询条件动态修改sql: 通过mybatis的拦截器，实现为所有sql(或指定sql) 统一添加查询条件，譬如通过线程变量传递某参数（日期），来实现对指定参数的数据筛选，而不需要在每个查询前，手动将该条件注入到查询中。因该资料网络较少，故特此...

mybatis动态创建数据库表: mybatis动态创建数据库表，支持数据库表动态创建，数据插入，数据修改

Global site tag (gtag.js) - Google Analytics