Mybatis $符號防止注入

原創 遥忘而立 2019-07-11 02:34

在mybatis的xml語句中 根據情況不同 採用不同的排序方式 

Xml代碼 

<if test="ordercolumn != null">  
    ORDER BY #{ordercolumn} DESC  
</if>  


但是沒有生效,參考別人意見後,原來預編譯時,將ordercolumn字段名轉爲字符串String格式,比如ordercolumn="name", sql語句是 

Sql代碼 

 

ORDER BY “name” DESC  


所以排序無法生效。 

    解決辦法:將xml按如下修改 

Xml代碼 

<choose>  
    <when test="ordertype!=null and ordertype==1">  
        ORDER BY carindex DESC  
    </when>  
    <when test="ordertype!=null and ordertype==2">  
        ORDER BY statdate DESC  
    </when>  
    <otherwise>  
        ORDER BY carindex DESC  
    </otherwise>  
</choose>  



傳參數ordertype使用枚舉形式,排序生效。 

 

2.可以使用 特殊字符串轉義和過濾

限制入參長度
嘗試解決

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

面試準備季——MyBatis 面試專題(含答案)

寫在前面:2020年面試必備的Java後端進階面試題總結了一份複習指南在Github上,內容詳細,圖文並茂,有需要學習的朋友可以Star一下! GitHub地址:https://github.com/abel-max/Java-S

毛发旺盛的程序员 2020-07-08 12:27:20

鑑別器 discriminator

文章目錄鑑別器``鑑別器的結構必要的屬性舉例(摘自官方文檔) 鑑別器<discriminator/> 鑑別器,可以簡單的理解爲在<resultMap/>中的swith:case語句。 鑑別器的結構 <discriminato

丨QAQ丨凸 2020-07-08 11:21:04

XML映射文件介紹(實現簡單的CRUD)

文章目錄XML映射文件介紹(實現簡單的CRUD)標籤簡介`insert`、`update`、`delete`標籤id屬性parameterType屬性`select`標籤resultType屬性resultMap屬性`result

丨QAQ丨凸 2020-07-08 11:21:02

在主鍵自增的情況下獲取主鍵

文章目錄在主鍵自增的情況下獲取主鍵對於支持主鍵自增的數據庫得到主鍵將主鍵封裝到指定字段舉例:對於不支持主鍵自增的數據庫`selectKey order='BEFORE'``selectKey order='AFTER'` 在主鍵自

丨QAQ丨凸 2020-07-08 11:21:02

語句類型 & 根據數據庫加載語句

文章目錄語句類型 & 根據數據庫加載語句statementTypedatabaseId 語句類型 & 根據數據庫加載語句 對於select,update,insert,delete四種語句元素(標籤),關於基本用法,已經瞭解了,現

丨QAQ丨凸 2020-07-08 11:21:02

關聯集合的獲取(連接查詢 & 分步查詢),延遲加載

文章目錄關聯集合的獲取(連接查詢 & 分步查詢),延遲加載連接查詢分步查詢雙向關聯分步查詢的問題:無限遞歸,導致堆溢出小結不要忘記`ofType`屬性延遲加載問題 關聯集合的獲取(連接查詢 & 分步查詢),延遲加載 關聯集合的獲取

丨QAQ丨凸 2020-07-08 11:21:01

關聯屬性的封裝(連接查詢 & 分步查詢),延遲加載

文章目錄關聯屬性的封裝(連接查詢 & 分步查詢),延遲加載使用連接查詢使用連接查詢獲得college,並且封裝到student對象中使用分步查詢延遲加載開啓延遲加載方式一:全局配置開啓延遲加載方式二:`association`標籤

丨QAQ丨凸 2020-07-08 11:21:00

#{}和${}的不同

#{}和${}的不同 這兩種寫法的效果是一摸一樣的,但是,它們也有不相同的地方。 處理方式不同 ${}相當於字符串的拼接。 #{}相當於在sql語句中使用?佔位符,然後給這個佔位符設置值。 丨從安全角度將,${}有被SQL注入的風

丨QAQ丨凸 2020-07-08 11:21:00

Mybatis目錄

Mybatis初體驗 XML映射文件介紹(實現簡單的CRUD) Mybatis對參數的處理 #{}和${}的不同 語句類型 & 根據數據庫加載語句 在主鍵自增的情況下獲取主鍵 關聯屬性的封裝(連接查詢 & 分步查詢),延遲加載

丨QAQ丨凸 2020-07-08 11:21:00

Mybatis中全局配置文件介紹

其他概念: 1、接口式編程 ​ 原生: Dao ------------------> DaoImpl ​ Mybatis Mapper -------------> xxMapper.xml ​ 2、Sql

来点淦货 2020-07-08 11:09:22

關於Mybatis緩存你真的知道嗎?

Mybatis緩存 1)一級緩存:(本地緩存): * sqlSession級別的緩存。一級緩存是一直開啓的;SqlSession級別的一個Map * 與數據庫同一次會話期間查詢到的數據會放在本地緩存中。 * 以後如果需要

来点淦货 2020-07-08 11:09:19

Mybatis中映射配置文件用法介紹

Mybatis映射配置文件 ​ 1、獲取自增主鍵的值 <!-- public void addEmp(Employee employee); --> <!-- parameterType:參數類型,可以省略, 獲取自增主鍵

来点淦货 2020-07-08 11:09:19

Mybatis之動態SQL語法詳解

Mybatis動態SQL ​ 1、sql_if & sql_where 判斷&OGNL表達式 <!-- 查詢員工,要求,攜帶了哪個字段查詢條件就帶上這個字段的值 --> <!-- public List<Employee

来点淦货 2020-07-08 11:09:19

異常java.lang.IllegalArgumentException: Mapped Statements collection already contains value for...

異常:java.lang.IllegalArgumentException: Mapped Statements collection already contains value for com.xxx.erp.procurement.

公子 2020-07-08 10:30:45

spring-boot 集成mybatis-plus & 代碼自動生成

pom文件增加以下依賴 <!-- mybatis-plus--> <dependency> <groupId>com.baomidou</groupId> <artif

阿伦_01 2020-07-08 09:32:40