Order By 排序条件中带参数的写法(Oracle数据库、MyBatis)

时间:2022-02-05 02:45:16

  maven/java/web/bootstrapQQ群:566862629。希望更多人一起帮助我学习。



sortWay 是参数。 当sortWay  为 llpx 就 ORDER BY FORMAT ASC,为 btypx 就ORDER BY BID DESC ,为 zhpx 就 ORDER BY FORMAT ASC,BID DESC 


<select id="selectXXX" parameterType="Map" resultMap="XXXXResultMap">
SELECT 
XXX,XXX
FROM TB_XXX 
<where>
    <if test="id != null and id != ''">
    AND ID = #{id}
    </if>
    <if test="account != null and account != ''">
    AND ACCOUNT = #{account}
    </if>
    <if test="state != null and state != '' and state.code != null and state.code != ''">
    AND STATE = #{state.code}
    </if>
    </where>
    <order>
    <if test=" sortWay != null and sortWay == 'llpx'">
    ORDER BY FORMAT ASC
    </if>
    <if test=" sortWay != null and sortWay == 'btypx'">
    ORDER BY BID DESC 
    </if>
    <if test=" sortWay != null and sortWay == 'zhpx'">
    ORDER BY FORMAT ASC,BID DESC 
    </if>
    </order>
</select>

我本来觉得上面方法是可以的,但是不知道什么地方有问题运行会说在<order> 位置就该是<mapper>标签了。

希望有人解决了给我说下这个方法是不是可以用。




最后Order By 排序条件中带参数的写法  我还是无奈的用 ORDER BY ${sortSql}  ,就是在后面传参数 拼sql的方式实现的。

我查到说${}是不安全的,推荐用#{}。

#{}是安全的,可以防止sql注入,会预预编译在参数外面加上单引号‘’ ,在order by后面参数加单引号会语句无效。只好还是用了${}。


这个问题怎么办  如果有人知道也非常希望给我说说。



后记 : ORDER BY ${参数1} ${参数2}   这种写法是OK的,只是要在代码中先过滤性验证前端传入的参数是不是合规的,作验证防止sql注入。


标签:

相关文章