mxl中的語句如下

<select resultType='com.dahua.la.business.model.vo.StatSysResultVO'> select a, b,count(1) as total from table where a is not null and b is not null and operateTime >= #{startTime,jdbcType=TIMESTAMP} and operateTime <= #{endTime,jdbcType=TIMESTAMP} group by a, b order by <foreach collection='orderItems' item='item' separator=','> #{item.orderBy} #{item.order} </foreach></select>

運行時通過日志打印出sql日志如下

select a, b, count(1) as total from table where a is not null and b is not null and operateTime >= ? and operateTime <= ? group by a, b order by ? ?

把參數補充上拿到Navicat執行的時候，完全沒有問題，排序也正常。

但是在代碼里執行就是不行, 最后的排序完全沒有生效。

實際上，我補上參數的時候漏了引號，因為#{item.orderBy}會對傳入的數據加一個引號，如果帶著引號去Navicat執行，也是排序不生效的。

直接替換成使用${item.orderBy}形式，單純的字符串替換不加引號。

<foreach collection='orderItems' item='item' separator=','> ${item.orderBy} ${item.order}</foreach>

此時程序正常。

字符串替換

默認情況下，使用#{}格式的語法會導致MyBatis創建預處理語句屬性并以它為背景設置安全的值（比如?）。

這樣做很安全，很迅速也是首選做法，有時你只是想直接在SQL語句中插入一個不改變的字符串。

比如，像ORDER BY，你可以這樣來使用：

ORDER BY ${columnName}

這里MyBatis不會修改或轉義字符串。

重要：

接受從用戶輸出的內容并提供給語句中不變的字符串，這樣做是不安全的。

這會導致潛在的SQL注入攻擊，因此你不應該允許用戶輸入這些字段，或者通常自行轉義并檢查。

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。