maven/java/web/bootstrapQQ群:566862629。希望更多人一起帮助我学习。
sortWay 是参数。 当sortWay 为 llpx 就ORDER BY FORMAT ASC,为btypx 就ORDER BY BID DESC ,为zhpx 就ORDER BY FORMAT ASC,BID DESC
<select id="selectXXX" parameterType="Map" resultMap="XXXXResultMap"> SELECT XXX,XXX FROM TB_XXX <where> <if test="id != null and id != ''"> AND ID = #{id} </if> <if test="account != null and account != ''"> AND ACCOUNT = #{account} </if> <if test="state != null and state != '' and state.code != null and state.code != ''"> AND STATE = #{state.code} </if> </where> <order> <if test=" sortWay != null and sortWay == 'llpx'"> ORDER BY FORMAT ASC </if> <if test=" sortWay != null and sortWay == 'btypx'"> ORDER BY BID DESC </if> <if test=" sortWay != null and sortWay == 'zhpx'"> ORDER BY FORMAT ASC,BID DESC </if> </order> </select>
我本来觉得上面方法是可以的,但是不知道什么地方有问题运行会说在<order> 位置就该是<mapper>标签了。
最后Order By 排序条件中带参数的写法 我还是无奈的用ORDER BY ${sortsql} ,就是在后面传参数 拼sql的方式实现的。
我查到说${}是不安全的,推荐用#{}。
#{}是安全的,可以防止sql注入,会预预编译在参数外面加上单引号‘’ ,在order by后面参数加单引号会语句无效。只好还是用了${}。
这个问题怎么办 如果有人知道也非常希望给我说说。
后记 :ORDER BY ${参数1}${参数2} 这种写法是OK的,只是要在代码中先过滤性验证前端传入的参数是不是合规的,作验证防止sql注入。
原文地址:https://www.jb51.cc/oracle/211549.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。