Mybatis order by 动态传参出现的问题及解决方法
问题由来
一个简单的需求,要求把和当前用户相关的数据置顶展示。
这里,我用了一个简单的用户表来复现这个需求。
很简单,查询语句后面加上:order by t.login_name='wulaoer' desc 就行了。
如下所示,吴老二就到顶了。
那Mybatis脚本怎么写呢?
就这么写👇🏻
<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
select * from user t
order by t.login_name=#{req.currentUser} desc
</select>OK,需求完成,测试,摸……
嗯,出bug了……
问题现场
定晴一看控制台,报错了。
最关键的一行:
java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).
问题分析
问题很简单,随手一查,原因是:
#{}传过来的参数带单引号
#{}采用预编译机制,是占位符,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值。
这种方式,order by 最后的sql会多加单引号 ' 。
那怎么解决呢?
可以用 ${}。${}是拼接符,直接字符串替换。
<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
select * from user t
order by t.login_name=${req.currentUser} desc
</select>我不想用${}这种方式,因为有sql注入的风险,那该怎么办呢?
好吧,其实主要是这种方式也报错了😓。
java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'
我们平时模糊查询怎么写呢?
——使用CONCAT()函数来拼接keyword。
以此类推,那我用一个函数来去掉'不就行了。
那用一个什么函数呢?
——REPLACE
所以写法就变成了这样:
<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
select * from user t
order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
</select>问题解决
OK,最终问题解决。
<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
select * from user t
order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
</select>上去吧,吴老二!
问题比较简单,处理起来也是三下五除二,但是分析的过程还有点意思,所以发出来给大家瞧瞧。
到此这篇关于Mybatis order by 动态传参出现的一个小bug的文章就介绍到这了,更多相关Mybatis order by 动态传参出现的一个小bug内容请搜索编程网以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程网!
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
