文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Mybatis关于动态排序#{}${}问题

2022-11-13 18:50

关注

Mybatis动态排序 #{} ${}问题

在写Mybatis动态排序是遇到一个问题,开始,我是这样写的

<if test="orderField !=null and orderField != '' ">
    order by t.#{orderField}  #{orderType}
</if>

发现报错,后来经过查阅资料发现,用#{}会多个' '导致SQL语句失效。

就是说,向上面这样的,连续使用#{}进行注入的,会导致SQL语句失效。

所以,改成${}注入就可以了

<if test="orderField !=null and orderField != '' ">
    order by t.${orderField}  ${orderType}
</if>

通过动态排序理解#{}和${}的区别

在日常开发中,尤其是在数据列表展示中,排序是最基本的功能。一般根据创建时间倒叙,但有可能碰到动态排序的需求。

接下来,我们将围绕由后台动态排序进行探讨

例如

现在,我们要查询一张店长表tb_director,我们在原有的父类中,新定义两个字段

import com.fasterxml.jackson.annotation.JsonFormat;
import com.fasterxml.jackson.annotation.JsonIgnore;
import java.io.Serializable;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;


public class BaseEntity implements Serializable
{
    private static final long serialVersionUID = 1L;

    
    private String orderField;

    
    private String orderType;

    
    private String searchValue;

    
    private String createBy;

    
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date createTime;

    
    private String updateBy;

    
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date updateTime;

    
    private String remark;

    
    @JsonIgnore
    private String beginTime;

    
    @JsonIgnore
    private String endTime;

    
    private Map<String, Object> params;
}


@Entity
@Getter
@Setter
@Table(name = "tb_director")
public class Director extends BaseEntity {
    
     
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
   
     
    @Column(name = "director_name", unique = true)
    private String directorName;

    
    @Column(name = "director_adress", unique = true)
    private String directorAdress;
}

现在,我们只需要在mapper.xml中加上sql过滤条件即可

  <!-- 查询店长信息 -->
  <sql id="selectDirectorVo">
     select id, director_name,director_adress,director_num,director_create_time,director_up_time,openId
         from tb_director
  </sql>
  <!-- 查询条件 -->
  <sql id="sqlwhereSearch">
         <where>
             <if test="directorName !=null and directorName !=''">
                      AND director_name like concat('%', #{directorName}, '%')
             </if>
             <if test="openId !=null and openId !=''">
                      AND openId=#{openId}
            </if>
                <if test="id !=null and id !=''">
                      AND id=#{id}
            </if>
            <if test="beginTime != null and beginTime != ''"><!-- 开始时间检索 -->
                      AND date_format(directorCreateTime,'%y%m%d') &gt;= date_format(#{beginTime},'%y%m%d')
            </if>
            <if test="endTime != null and endTime != ''"><!-- 结束时间检索 -->
                      AND date_format(directorCreateTime,'%y%m%d') &lt;= date_format(#{endTime},'%y%m%d')
            </if>
            </where>
            <!-- 根据传入字段动态过滤 -->
            <if test="orderField !=null and orderField != '' ">
                        order by ${orderField}  ${orderType}
            </if>
        </sql>
  <!-- 根据条件查询店长 -->
  <select id="sel" parameterType="Director" resultMap="DirectorResult">
                <include refid="selectDirectorVo"/>
                <include refid="sqlwhereSearch"/>
        </select>

持久层代码编完后,我们只需要在调用时,传入我们想进行排序的字段即可。

如下所示:

127.0.0.1:8080/api/director/sel?orderField=director_create_time&orderType=desc

但是这样的话,就需要我们对表中的字段非常清楚,如果觉得这样不舒服的话,我们可以对sql进行修改

<if test="orderField !=null and orderField != '' ">
    order by
    <choose>
        <when test="orderField == 'directorName'">
            director_name ${orderType}
        </when>
        <when test="orderField == 'openId'">
            openId ${orderType}
        </when>
        <otherwise>
            create_time ${orderType}
        </otherwise>
    </choose>
</if>

注意事项

使用这样连续拼接两个注入参数时,只能用${},不能用#{}。

如果使用#{orderField},则会被解析成ORDER BY “orderField”,这显然是一种错误的写法。

预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。

以上为个人经验,希望能给大家一个参考,也希望大家多多支持编程网。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯