首頁 > 軟體

Mybatis關於動態排序 #{} ${}問題

2022-10-26 14:02:45

Mybatis動態排序 #{} ${}問題

在寫Mybatis動態排序是遇到一個問題,開始,我是這樣寫的

<if test="orderField !=null and orderField != '' ">
    order by t.#{orderField}  #{orderType}
</if>

發現報錯,後來經過查閱資料發現,用#{}會多個' '導致SQL語句失效。

就是說,向上面這樣的,連續使用#{}進行注入的,會導致SQL語句失效。

所以,改成${}注入就可以了

<if test="orderField !=null and orderField != '' ">
    order by t.${orderField}  ${orderType}
</if>

通過動態排序理解#{}和${}的區別

在日常開發中,尤其是在資料列表展示中,排序是最基本的功能。一般根據建立時間倒敘,但有可能碰到動態排序的需求。

接下來,我們將圍繞由後臺動態排序進行探討

例如

現在,我們要查詢一張店長表tb_director,我們在原有的父類別中,新定義兩個欄位

import com.fasterxml.jackson.annotation.JsonFormat;
import com.fasterxml.jackson.annotation.JsonIgnore;
import java.io.Serializable;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * Entity基礎類別
 *
 * @author 進擊的Java君
 */
public class BaseEntity implements Serializable
{
    private static final long serialVersionUID = 1L;

    /** 排序列*/
    private String orderField;

    /** 排序規則,升降序*/
    private String orderType;

    /** 搜尋值 */
    private String searchValue;

    /** 建立者 */
    private String createBy;

    /** 建立時間 */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date createTime;

    /** 更新者 */
    private String updateBy;

    /** 更新時間 */
    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private Date updateTime;

    /** 備註 */
    private String remark;

    /** 開始時間 */
    @JsonIgnore
    private String beginTime;

    /** 結束時間 */
    @JsonIgnore
    private String endTime;

    /** 請求引數 */
    private Map<String, Object> params;
}

/**
 * 店長表
 * @author 進擊的Java君
 * @date 2021-03-18
 */
@Entity
@Getter
@Setter
@Table(name = "tb_director")
public class Director extends BaseEntity {
    
     /** 主鍵id */
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
   
     /** 店鋪名稱 */
    @Column(name = "director_name", unique = true)
    private String directorName;

    /** 店鋪地址 */
    @Column(name = "director_adress", unique = true)
    private String directorAdress;
}

現在,我們只需要在mapper.xml中加上sql過濾條件即可

  <!-- 查詢店長資訊 -->
  <sql id="selectDirectorVo">
     select id, director_name,director_adress,director_num,director_create_time,director_up_time,openId
         from tb_director
  </sql>
  <!-- 查詢條件 -->
  <sql id="sqlwhereSearch">
         <where>
             <if test="directorName !=null and directorName !=''">
                      AND director_name like concat('%', #{directorName}, '%')
             </if>
             <if test="openId !=null and openId !=''">
                      AND openId=#{openId}
            </if>
                <if test="id !=null and id !=''">
                      AND id=#{id}
            </if>
            <if test="beginTime != null and beginTime != ''"><!-- 開始時間檢索 -->
                      AND date_format(directorCreateTime,'%y%m%d') &gt;= date_format(#{beginTime},'%y%m%d')
            </if>
            <if test="endTime != null and endTime != ''"><!-- 結束時間檢索 -->
                      AND date_format(directorCreateTime,'%y%m%d') &lt;= date_format(#{endTime},'%y%m%d')
            </if>
            </where>
            <!-- 根據傳入欄位動態過濾 -->
            <if test="orderField !=null and orderField != '' ">
                        order by ${orderField}  ${orderType}
            </if>
        </sql>
  <!-- 根據條件查詢店長 -->
  <select id="sel" parameterType="Director" resultMap="DirectorResult">
                <include refid="selectDirectorVo"/>
                <include refid="sqlwhereSearch"/>
        </select>

持久層程式碼編完後,我們只需要在呼叫時,傳入我們想進行排序的欄位即可。

如下所示:

127.0.0.1:8080/api/director/sel?orderField=director_create_time&orderType=desc

但是這樣的話,就需要我們對錶中的欄位非常清楚,如果覺得這樣不舒服的話,我們可以對sql進行修改

<if test="orderField !=null and orderField != '' ">
    order by
    <choose>
        <when test="orderField == 'directorName'">
            director_name ${orderType}
        </when>
        <when test="orderField == 'openId'">
            openId ${orderType}
        </when>
        <otherwise>
            create_time ${orderType}
        </otherwise>
    </choose>
</if>

注意事項

使用這樣連續拼接兩個注入引數時,只能用${},不能用#{}。

如果使用#{orderField},則會被解析成ORDER BY “orderField”,這顯然是一種錯誤的寫法。

  • $ 符號一般用來當作預留位置
  • #{}是sql的引數預留位置,Mybatis會將sql中的#{}替換為?號,在sql執行前會使用PreparedStatement的引數設定方法,按序給sql的?號預留位置設定引數值。

預編譯的機制。預編譯是提前對SQL語句進行預編譯,而其後注入的引數將不會再進行SQL編譯。我們知道,SQL隱碼攻擊是發生在編譯的過程中,因為惡意注入了某些特殊字元,最後被編譯成了惡意的執行操作。而預編譯機制則可以很好的防止SQL隱碼攻擊。

以上為個人經驗,希望能給大家一個參考,也希望大家多多支援it145.com。


相關文章

  • 德漢姆中學就讀條件 德漢姆中學就讀條件

    <em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011

    2021-06-01 09:32:01

  • 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列 黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列

    综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所

    2021-06-01 09:31:42

  • 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距! 吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!

    除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让

    2021-06-01 09:31:34

  • IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢? IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?

    目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加

    2021-06-01 09:31:24

  • 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊 有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊

    开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的

    2021-06-01 09:30:48

  • iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎? iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?

    不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它

    2021-06-01 09:30:45

IT145.com E-mail:sddin#qq.com