亲宝软件园·资讯

展开

Mybatis order by 动态传参出现的一个小bug

mrr 人气:0
想了解Mybatis order by 动态传参出现的一个小bug的相关内容吗,mrr在本文为您仔细讲解的相关知识和一些Code实例,欢迎阅读和指正,我们先划重点:Mybatis order by 动态传参出现的一个小bug,下面大家一起来学习吧。

大家好,我是老三,一个平平无奇的CRUD仔。

今天,我正在愉快地CRUD,突然发现出现一个Bug,我们来看看是怎么回事吧!

问题由来

一个简单的需求,要求把和当前用户相关的数据置顶展示。

这里,我用了一个简单的用户表来复现这个需求。

很简单,查询语句后面加上:order by t.login_name='wulaoer' desc 就行了。

如下所示,吴老二就到顶了。

那Mybatis脚本怎么写呢?

就这么写👇🏻

<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=#{req.currentUser} desc </select>

OK,需求完成,测试,摸……

嗯,出bug了……

问题现场

定晴一看控制台,报错了。

最关键的一行:

java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).

问题分析

问题很简单,随手一查,原因是:

#{}传过来的参数带单引号

#{}采用预编译机制,是占位符,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

这种方式,order by 最后的sql会多加单引号 ' 。

那怎么解决呢?

可以用 ${}${}是拼接符,直接字符串替换。

<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=${req.currentUser} desc </select>

我不想用${}这种方式,因为有sql注入的风险,那该怎么办呢?

好吧,其实主要是这种方式也报错了😓。

java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'

我们平时模糊查询怎么写呢?

——使用CONCAT()函数来拼接keyword。

以此类推,那我用一个函数来去掉'不就行了。

那用一个什么函数呢?

——REPLACE

所以写法就变成了这样:

<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc </select>

问题解决

OK,最终问题解决。

<select resultType="cn.fighter3.entity.User"> select * from user t order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc </select>

上去吧,吴老二!

问题比较简单,处理起来也是三下五除二,但是分析的过程还有点意思,所以发出来给大家瞧瞧。

PS:有读者朋友催更SringCloud Alibaba实战系列,抱歉,最近加班、刷题,只能暂时停更。不过大家不要担心没得学,我的朋友Jam哥已经更了三十几篇高质量教程,百度搜Java日知录,快乐继续。


“简单的事情重复做,重复的事情认真做,认真的事情有创造性地做。”——

我是三分恶,一个能文能武的全栈开发!

点赞、关注不迷路,咱们下期见!

加载全部内容

相关教程
猜你喜欢
用户评论