mybatis的#{}和${}的区别以及order by注入问题

一、问题

根据前端传过来的表格排序字段和排序方式,后端使用的mybaits

select XXXX from table order by #{column} #{desc}

如上面的形式发现排序没有生效,查看打印的日志发现实际执行的sql为,排序没有生效

select XXXXX from table order by "column" "desc"

二、原因分析

主要还是对mybatis传参形式不了解,官方介绍如下:

By default, using the #{} syntax will cause MyBatis to generate PreparedStatement properties and set the values safely against the PreparedStatement parameters (e.g. ?). While this is safer, faster and almost always preferred, sometimes you just want to directly inject an unmodified string into the SQL Statement. For example, for ORDER BY, you might use something like this:
@Select("select * from user where ${column} = #{value}")
User findByColumn(@Param("column") String column, @Param("value") String value);

从官方文档中可以看出#{}相当于jdbc中的preparedstatement,进行了预编译,而${}直接是字符串本身,是有意设计成这样,方便拼接成动态sql,但是这样也带来缺点,可能存在注入问题。

参考阅读:http://www.mybatis.org/mybatis-3/sqlmap-xml.html#Parameters

posted @ 2019-06-13 16:06 河岸飞流 阅读(...) 评论(...) 编辑 收藏

那片笑声让我想起我的那些花儿
在我生命每个角落静静为我开着
我曾以为我会永远守在她身旁
今天我们已经离去在人海茫茫
她们都老了吧 她们在哪里呀
幸运的是我曾陪她们开放