Mybatis order by 动态传参出现的一个小bug
mrr 人气:0大家好,我是老三,一个平平无奇的CRUD仔。
今天,我正在愉快地CRUD,突然发现出现一个Bug,我们来看看是怎么回事吧!
问题由来
一个简单的需求,要求把和当前用户相关的数据置顶展示。
这里,我用了一个简单的用户表来复现这个需求。
很简单,查询语句后面加上:order by t.login_name='wulaoer' desc 就行了。
如下所示,吴老二就到顶了。
那Mybatis脚本怎么写呢?
就这么写👇🏻
<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=#{req.currentUser} desc </select>OK,需求完成,测试,摸……
嗯,出bug了……
问题现场
定晴一看控制台,报错了。
最关键的一行:
java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).问题分析
问题很简单,随手一查,原因是:
#{}传过来的参数带单引号
#{}采用预编译机制,是占位符,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值。
这种方式,order by 最后的sql会多加单引号 ' 。
那怎么解决呢?
可以用 ${}。${}是拼接符,直接字符串替换。
<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=${req.currentUser} desc </select>我不想用${}这种方式,因为有sql注入的风险,那该怎么办呢?
好吧,其实主要是这种方式也报错了😓。
java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'我们平时模糊查询怎么写呢?
——使用CONCAT()函数来拼接keyword。
以此类推,那我用一个函数来去掉'不就行了。
那用一个什么函数呢?
——REPLACE
所以写法就变成了这样:
<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc </select>问题解决
OK,最终问题解决。
<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc </select>上去吧,吴老二!
问题比较简单,处理起来也是三下五除二,但是分析的过程还有点意思,所以发出来给大家瞧瞧。
PS:有读者朋友催更SringCloud Alibaba实战系列,抱歉,最近加班、刷题,只能暂时停更。不过大家不要担心没得学,我的朋友Jam哥已经更了三十几篇高质量教程,百度搜Java日知录,快乐继续。
“简单的事情重复做,重复的事情认真做,认真的事情有创造性地做。”——
我是三分恶,一个能文能武的全栈开发!
点赞、关注不迷路,咱们下期见!
加载全部内容