Mybatis关于动态排序 #{} ${}问题
作者:LitongZero
这篇文章主要介绍了Mybatis关于动态排序 #{} ${}问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
Mybatis动态排序 #{} ${}问题
在写Mybatis动态排序是遇到一个问题,开始,我是这样写的
<if test="orderField !=null and orderField != '' "> order by t.#{orderField} #{orderType} </if>
发现报错,后来经过查阅资料发现,用#{}会多个' '导致SQL语句失效。
就是说,向上面这样的,连续使用#{}进行注入的,会导致SQL语句失效。
所以,改成${}注入就可以了
<if test="orderField !=null and orderField != '' "> order by t.${orderField} ${orderType} </if>
通过动态排序理解#{}和${}的区别
在日常开发中,尤其是在数据列表展示中,排序是最基本的功能。一般根据创建时间倒叙,但有可能碰到动态排序的需求。
接下来,我们将围绕由后台动态排序进行探讨
例如
现在,我们要查询一张店长表tb_director,我们在原有的父类中,新定义两个字段
import com.fasterxml.jackson.annotation.JsonFormat; import com.fasterxml.jackson.annotation.JsonIgnore; import java.io.Serializable; import java.util.Date; import java.util.HashMap; import java.util.Map; /** * Entity基类 * * @author 进击的Java君 */ public class BaseEntity implements Serializable { private static final long serialVersionUID = 1L; /** 排序列*/ private String orderField; /** 排序规则,升降序*/ private String orderType; /** 搜索值 */ private String searchValue; /** 创建者 */ private String createBy; /** 创建时间 */ @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss") private Date createTime; /** 更新者 */ private String updateBy; /** 更新时间 */ @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss") private Date updateTime; /** 备注 */ private String remark; /** 开始时间 */ @JsonIgnore private String beginTime; /** 结束时间 */ @JsonIgnore private String endTime; /** 请求参数 */ private Map<String, Object> params; } /** * 店长表 * @author 进击的Java君 * @date 2021-03-18 */ @Entity @Getter @Setter @Table(name = "tb_director") public class Director extends BaseEntity { /** 主键id */ @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; /** 店铺名称 */ @Column(name = "director_name", unique = true) private String directorName; /** 店铺地址 */ @Column(name = "director_adress", unique = true) private String directorAdress; }
现在,我们只需要在mapper.xml中加上sql过滤条件即可
<!-- 查询店长信息 --> <sql id="selectDirectorVo"> select id, director_name,director_adress,director_num,director_create_time,director_up_time,openId from tb_director </sql> <!-- 查询条件 --> <sql id="sqlwhereSearch"> <where> <if test="directorName !=null and directorName !=''"> AND director_name like concat('%', #{directorName}, '%') </if> <if test="openId !=null and openId !=''"> AND openId=#{openId} </if> <if test="id !=null and id !=''"> AND id=#{id} </if> <if test="beginTime != null and beginTime != ''"><!-- 开始时间检索 --> AND date_format(directorCreateTime,'%y%m%d') >= date_format(#{beginTime},'%y%m%d') </if> <if test="endTime != null and endTime != ''"><!-- 结束时间检索 --> AND date_format(directorCreateTime,'%y%m%d') <= date_format(#{endTime},'%y%m%d') </if> </where> <!-- 根据传入字段动态过滤 --> <if test="orderField !=null and orderField != '' "> order by ${orderField} ${orderType} </if> </sql> <!-- 根据条件查询店长 --> <select id="sel" parameterType="Director" resultMap="DirectorResult"> <include refid="selectDirectorVo"/> <include refid="sqlwhereSearch"/> </select>
持久层代码编完后,我们只需要在调用时,传入我们想进行排序的字段即可。
如下所示:
127.0.0.1:8080/api/director/sel?orderField=director_create_time&orderType=desc
但是这样的话,就需要我们对表中的字段非常清楚,如果觉得这样不舒服的话,我们可以对sql进行修改
<if test="orderField !=null and orderField != '' "> order by <choose> <when test="orderField == 'directorName'"> director_name ${orderType} </when> <when test="orderField == 'openId'"> openId ${orderType} </when> <otherwise> create_time ${orderType} </otherwise> </choose> </if>
注意事项
使用这样连续拼接两个注入参数时,只能用${},不能用#{}。
如果使用#{orderField},则会被解析成ORDER BY “orderField”,这显然是一种错误的写法。
- $ 符号一般用来当作占位符
- #{}是sql的参数占位符,Mybatis会将sql中的#{}替换为?号,在sql执行前会使用PreparedStatement的参数设置方法,按序给sql的?号占位符设置参数值。
预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。