Mybatis order by 动态传参出现的一个小bug

Mybatis order by 动态传参出现的一个小bugcrud仔日常crud翻车——MyBatis order by 动态传参: java.sql.SQLException: Parameter index out of range (1 numbe

大家好,我是老三,一个平平无奇的CRUD仔。

今天,我正在愉快地CRUD,突然发现出现一个Bug,我们来看看是怎么回事吧!

问题由来

一个简单的需求,要求把和当前用户相关的数据置顶展示。

这里,我用了一个简单的用户表来复现这个需求。

数据

很简单,查询语句后面加上:order by t.login_name='wulaoer' desc 就行了。

如下所示,吴老二就到顶了。

用户相关数据置顶置顶

那Mybatis脚本怎么写呢?

就这么写👇🏻

     <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
         select * from user t
         order by t.login_name=#{req.currentUser} desc
     </select>

OK,需求完成,测试,摸……

嗯,出bug了……

问题现场

定晴一看控制台,报错了。

报错

最关键的一行:

 java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).

问题分析

问题很简单,随手一查,原因是:

  • #{}传过来的参数带单引号

#{}采用预编译机制,是占位符,#{}传入参数是以字符串传入,会将SQL中的#{}替换为?号,调用PreparedStatement的set方法来赋值。

这种方式,order by 最后的sql会多加单引号 ‘ 。

那怎么解决呢?

可以用 ${}${}是拼接符,直接字符串替换。

     <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
         select * from user t
         order by t.login_name=${req.currentUser} desc
     </select>

我不想用${}这种方式,因为有sql注入的风险,那该怎么办呢?

好吧,其实主要是这种方式也报错了😓。

 java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'

我们平时模糊查询怎么写呢?

——使用CONCAT()函数来拼接keyword。

以此类推,那我用一个函数来去掉'不就行了。

那用一个什么函数呢?

——REPLACE

所以写法就变成了这样:

     <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
         select * from user t
         order by t.login_name=REPLACE(#{req.currentUser},''','') desc   </select> 

问题解决

OK,最终问题解决。

     <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
         select * from user t
         order by t.login_name=REPLACE(#{req.currentUser},''','') desc   </select> 

上去吧,吴老二!

上去吧吴老二


问题比较简单,处理起来也是三下五除二,但是分析的过程还有点意思,所以发出来给大家瞧瞧。

PS:有读者朋友催更SringCloud Alibaba实战系列,抱歉,最近加班、刷题,只能暂时停更。不过大家不要担心没得学,我的朋友Jam哥已经更了三十几篇高质量教程,百度搜Java日知录,快乐继续。

“简单的事情重复做,重复的事情认真做,认真的事情有创造性地做。”——

我是三分恶,一个能文能武的全栈开发!

点赞关注不迷路,咱们下期见!

\

今天的文章Mybatis order by 动态传参出现的一个小bug分享到此就结束了,感谢您的阅读。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/18754.html

(0)
编程小号编程小号

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注