如何实现在order by 后加变量啊？

fiele 2005-04-27 02:44:26

各位：
请问如何在order by 后面实现加变量的功能啊，
或者说order by 后面的值在之前是不知道的，运行时才知道，
我如何处理，谢谢

...全文

238 2 打赏收藏转发到动态举报

写回复

2 条回复

切换为时间正序

请发表友善的回复…

发表回复

fiele 2005-05-18

打赏
举报

回复

我是想在游标里实现，语句特别长，这个方法我试过了，他提示我，定义的SQL语句超长！

xluzhong 2005-04-27

打赏
举报

回复

declare @sql nvarchar(1000)
declare @s nvarchar(50)

set @sql='select * from tablename order by '+@s

exex(@sql)

注：sql注入的防御手段主要为预编译，但是预编译对orderby，表名、列名都不生效，所以在orderby的位置测试sql注入往往成功率比较高，原因参考下面文章，这里给出结论"order by后不能参数化的本质是：一方面预编译又只有自动加引号的setString()方法，没有不加引号的方法；而另一方面order by后接的字段名不能有引号。" 感兴趣的可以看完整的分析文章SQL预编译中order by后为什么不能参数化原因 - 诸子流 - 博客园 ...

MySQL 中的ORDER BY两种排序实现方式总的来说，在 MySQL中的ORDERBY有两种排序实现方式，一种是利用有序索引获取有序数据，另一种则是通过相应的排序算法，将取得的数据在内存中进行排序。下面将通过实例分析两种排序实现方式及实现图解：假设有TableA 和 B 两个表结构分别如下：1　　sky@localhost:example01:48:21>showcreate...

原因：在业务开发中，#{orderBy}里一般传入的是字符串变量，因此会被预编译为带问号的语句以及参数，...order by?..., Parameters:‘time’(String) ，并在执行时被正式编译为带引号的语法，例如order by ‘time’，这就和mysql的order by time语法不一致，因此是不生效的(但不会报错)以上问题并不是mybatis的问题，而是sql语法的问题，谁让sql语法里order by 后面跟的是一个不带引号的字段名呢。所以mybatis干脆不管了。

在使用了mybatis框架后，需要进行排序功能时，在mapper.xml文件中编写sql语句时，注意orderBy后的变量要使用${},而不用#{}。 #{}变量是经过预编译的，${}没有经过预编译。虽然${}存在sql注入的风险，但orderBy必须使用${},因为#{}会多出单引号''导致sql语句失效。为防止sql注入只能自己判断输入的值长度是否有异常

Django中实现order by FIELD

27,580

社区成员

68,545

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章