Order By 排序条件中带参数的写法(Oracle数据库、MyBatis)
Order By 排序条件中带参数的写法(Oracle数据库、MyBatis)
微风-- 轻许--
发布于 2022-04-13 08:54:31
发布于 2022-04-13 08:54:31
文章被收录于专栏:java 微风
sortWay 是参数。 当sortWay 为 llpx 就 ORDER BY FORMAT ASC,为 btypx 就ORDER BY BID DESC ,为 zhpx 就 ORDER BY FORMAT ASC,BID DESC
<select id="selectXXX" parameterType="Map" resultMap="XXXXResultMap">
SELECT
XXX,XXX
FROM TB_XXX
<where>
<if test="id != null and id != ''">
AND ID = #{id}
</if>
<if test="account != null and account != ''">
AND ACCOUNT = #{account}
</if>
<if test="state != null and state != '' and state.code != null and state.code != ''">
AND STATE = #{state.code}
</if>
</where>
<order>
<if test=" sortWay != null and sortWay == 'llpx'">
ORDER BY FORMAT ASC
</if>
<if test=" sortWay != null and sortWay == 'btypx'">
ORDER BY BID DESC
</if>
<if test=" sortWay != null and sortWay == 'zhpx'">
ORDER BY FORMAT ASC,BID DESC
</if>
</order>
</select>我本来觉得上面方法是可以的,但是不知道什么地方有问题运行会说在<order> 位置就该是<mapper>标签了。
希望有人解决了给我说下这个方法是不是可以用。
最后Order By 排序条件中带参数的写法 我还是无奈的用 ORDER BY ${sortSql} ,就是在后面传参数 拼sql的方式实现的。
我查到说${}是不安全的,推荐用#{}。
#{}是安全的,可以防止sql注入,会预预编译在参数外面加上单引号‘’ ,在order by后面参数加单引号会语句无效。只好还是用了${}。
这个问题怎么办 如果有人知道也非常希望给我说说。
后记 : ORDER BY {参数1} {参数2} 这种写法是OK的,只是要在代码中先过滤性验证前端传入的参数是不是合规的,作验证防止sql注入。
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2016/11/30 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
