MyBatis排序踩坑记:为什么你的动态ORDER BY不生效?

最新推荐文章于 2026-06-12 16:20:06 发布
原创 最新推荐文章于 2026-06-12 16:20:06 发布 · 709 阅读 · 10
标签
#MyBatis #动态排序 #SQL注入 #java

MyBatis动态排序陷阱解析:从原理到实战的深度避坑指南

当你满怀信心地在MyBatis中实现了一个动态排序功能,测试时却发现数据依然杂乱无章——这种场景恐怕不少Java开发者都遇到过。动态排序作为数据展示的刚需功能,其实现过程中隐藏着MyBatis参数处理的深层机制,而盲目使用#{}和${}符号就像在代码里埋下了不定时炸弹。

1. 问题现象与初步诊断

上周在重构一个老项目时,我遇到了一个典型的动态排序失效案例。前端传入的排序字段和方向参数明明正确,但返回的数据始终按默认主键排序。查看日志发现SQL语句看似正常:

SELECT * FROM products WHERE category_id = ? ORDER BY ? ?

参数绑定显示为:

Parameters: 5(Integer), "price"(String), "DESC"(String)

但实际执行结果却完全没有按价格降序排列。这种"假成功"现象特别具有迷惑性——SQL语法正确执行,但业务效果不符合预期。

常见错误表象

  • 日志显示排序参数已正确传入
  • 无任何SQL异常抛出
  • 返回数据保持无序或默认排序状态
  • 直接在数据库客户端执行生成的SQL同样无效

2. 核心问题解析:#{}与${}的本质区别

要彻底理解这个问题,需要深入MyBatis的参数处理机制。这两种占位符在预编译阶段有着完全不同的处理方式:

特性 #{} 预编译占位符 ${} 字符串替换
处理阶段 SQL预编译阶段 SQL解析阶段
安全性 防SQL注入 有注入风险
参数类型 自动类型转换 直接文本替换
适用场景 WHERE条件值 表名/字段名等SQL关键字
输出效果 生成带引号的参数值 原始文本插入

当我们在ORDER BY子句中使用#{}时:

ORDER BY #{fieldName} #{sortDirection}

实际生成的SQL会是:

ORDER BY 'p
最低0.47元/天 解锁文章
lambda
关注
【实力ORDER BY 不生效
一宿君
12-28 1912
组内自定义了动态表头,支持表头字段的排序(表头字段列名是什么,排序查询传进来的就是什么),那列表查询的时候只好把 sql 写成一个嵌套子查询,在最后进行动态。看着没毛病哈,但是实际查询 order by 后面的字段就是不生效,我尝试了好几种方式就 TM 不生效,我很气啊,就这个小破玩意耽误了我好长时间,咋整呢?从安全性角度看,使用#{}不存在安全问题,而使用存在安全问题。会把字段值完全拼接在 SQL 中,也就是是啥就是啥,当然这种方式会有注入的风险,但是对此处的实际场景来说也没啥风险,果断换成。
mybatis 中对于 order by 动态排序的处理
从入门到放弃
03-23 1121
首先字段名不知道,数量不确定,同时既要可以做到准确查询出结果,又要防止注入情况的发生,我是在网上没找到合适的解决方案。显然注入不了,因为这句sql 执行的结果是 查询 ctaname为 "Tom or 1=1" 这个字符的结果集,有就是有,没有就是没有。这样一种 or (或)的查询条件,显然 1=1 始终为真,则会查询出对应表中的所有数据,这不就是简单的注入情况了吗?比如最近有兄弟咨询,我需要动态的根据调用方法传递的比如 排序字段来进行排序排序字段不知道,数量也不确定)。可以进行正常的排序
Mybatis ORDER BY 排序失效 & ORDER BY 与 CASE WHEN THEN 排序问题
Muxiu
08-19 4823
如果传递给 mapper 的参数值是以#{test_参数}的形式,那么就会报错具体如下:传递参数是name排序规则是升序
面试时遇到order by注入我直接懵了
hackzkaq的博客
03-18 1050
零基础学白帽黑客,搜公众号:白帽子左一。
MybatisOrder By排序
热门推荐
凤凰涅槃
11-12 4万+
利用Mybatis逆向自动生成,—Example.java,—Mapper.xml文件。 一、—Mapper.xml文件,一个自动生成的查询方法,我们可以看到有order by排序语句。 二、所以我们在逻辑层可以将排序条件加上,以以下例子为例,这里我是按审核状态升序查询。只需要我们在Controller加上example.setOrderByClause(" card_sts ASC");如果你...
Mybatis使用order by语句
秃头哥编程
08-11 8497
今天在公司写代码的时候,想到有这样的需求,就是点击不同的按钮,跳转到同一个页面,但根据不同的条件对查询出来的结果进行排序。因为有六七种情况,所以我不可能相同的代码重复写六七遍,仅仅是查询条件不同。 所以自然而然的就想到传入一个参数给sql语句,然后使用order by进行排序。 因为之前一直使用#运算符,所以一如既往,使用#运算符就干,然鹅结果却是不起作用,看了一下输出日志,发现是这样输出的 ...
Mybatis动态传入order by
ClearLoveQ的博客
08-03 4688
Mybatis的mapper文件传入的order by动态参数说的时候发现排序无法生效: 像下面这样,在choose when中的order by后的参数是用预编译的方式,用的是#号,这样是可以防止sql注入的问题,但是在传入order by参数的时候无法解析: <select id="feescaleList" resultType="com.hasagei.modules....
MyBatis 3数据排序:多种排序方式的实现
gitblog_01117的博客
10-09 1064
你是否还在为MyBatis中的数据排序功能感到困惑?是否想知道如何在MyBatis中实现灵活高效的排序?本文将详细介绍MyBatis 3中实现数据排序的多种方式,读完你将能够根据实际需求选择合适的排序方案,并轻松应对各种排序场景。 ## 一、基础排序SQL语句中的ORDER BY子句 在MyBatis中,最基础也是最常用的排序方式就是在SQL语句中直接使用`ORDER BY`子句。这种方式简...
mybatis动态排序不生效
麋鹿智灵AI,在AI领域一起变现
01-11 1041
mybatis动态排序问题:使用#{}方式不生效,使用${}才可以生效
Mybatis 动态传入order by 参数排序无效
IT之旅 的博客
04-14 3286
Mybatis 动态传入order by 参数排序无效 一、背景 2019年4月14日,下午5点半,今天周末,但依旧加点调程序,补补丁。遇到这个,耗了我一会,我也很无奈啊,还好当时就解决了,特此录一下。 对最近比较热门的 996.I...
MyBatis 动态排序别乱用 ${}:ORDER BY 的安全写法
最新发布
long1_1的博客
06-12 389
摘要:MyBatis中的SQL注入风险常出现在动态SQL部分(如排序字段、表名等),而非普通条件参数。关键在于区分#{}(参数占位符)和${}(字符串替换):前者用于值传递,后者用于SQL结构。正确处理动态排序应采用白名单机制,将前端参数映射为预定义的数据库列名和排序方向,在Service层完成校验转换后再传入Mapper。同时需注意分页参数限制、索引匹配等问题,既保证安全性又兼顾性能。${}并非完全禁用,但必须确保其内容来自可信的枚举值而非原始用户输入。
Mybatis Order by动态参数防注入
qq_34819372的博客
06-02 1万+
一、先提及一下Mybatis动态参数 c
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
yump的博客笔记
09-29 3万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
MyBatis 排序不生效问题总结
tay1213wwb的博客
03-02 427
字段值(WHERE、INSERT、UPDATE)→ 永远用#{}列名、表名、ORDER BY(必须用${})→必须配合白名单校验,优先选用<choose>在 XML 层防护。
MyBatis排序时使用order by 动态参数
06-03 5741
我的表,通过product_price来排序,规则传入 mapper接口 List<Product> selectProductByOrder(@Param("order") String order); mapper配置 <select id="selectProduct...
MyBatis order by失效问题
qq_37450492的博客
11-04 3116
MyBatis order by失效问题 需求: 业务模块中所有列表的字段均可以排序 方案:前端将要排序的字段及排序规则传给后台,后台进行拼接,然后组装进SQL 因为前后端字段都是驼峰法命名,数据库字段是下划线命名,所以这里有一个排序字段转换 转换代码: public static String camel4underline(String param){ Pattern p=Pattern.compile("[A-Z]"); if(param==null ||par
[MyBatis]Mapper在order by中使用$的情况
喜欢前端的后端 MelodyJerry
02-27 3618
问题描述 MyBatis项目种,在测试接口是发现,返回的json数据不能按照传入的参数"sortBy": "id"进行order by id排序,当时返回的json数据如下图: 解决 发现该问题时,我最先是将sortBy": "id"改为sortBy": "sales_history.id"。 但是,没有用! 第二次将sortBy": "sales_history.id"改为sortBy": "",再测试 这次出现了如期的升序结果。 这是为什么呢? 回去检查一下这句order by #{sort},现
mybatis动态排序动态设置查询字段不生效
weixin_36873225的博客
11-03 611
{}方式传参数会使用preparedstatement预编译处理方式,参数是以?以上sql数据库不能正常解析 order by 后面的字段,这就是我们排序失效的原因。mybatis动态排序不生效mybatis动态参数。
mybatis使用order by #{}失效问题
lrenyan的博客
12-19 381
mybatis使用order by #{}失效问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值