Mybatis order by 动态传参出现的一个小bug

大家好，我是老三，一个平平无奇的CRUD仔。

今天，我正在愉快地CRUD，突然发现出现一个Bug，我们来看看是怎么回事吧！

问题由来

一个简单的需求，要求把和当前用户相关的数据置顶展示。

这里，我用了一个简单的用户表来复现这个需求。

很简单，查询语句后面加上：order by t.login_name='wulaoer' desc 就行了。

如下所示，吴老二就到顶了。

那Mybatis脚本怎么写呢？

就这么写

    <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=#{req.currentUser} desc
    </select>

OK，需求完成，测试，摸……

嗯，出bug了……

问题现场

定晴一看控制台，报错了。

最关键的一行：

java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).

问题分析

问题很简单，随手一查，原因是：

• #{}传过来的参数带单引号

#{}采用预编译机制，是占位符，#{}传入参数是以字符串传入，会将SQL中的#{}替换为?号，调用PreparedStatement的set方法来赋值。

这种方式，order by 最后的sql会多加单引号 ' 。

那怎么解决呢？

可以用 ${}。${}是拼接符，直接字符串替换。

    <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=${req.currentUser} desc
    </select>

我不想用${}这种方式，因为有sql注入的风险，那该怎么办呢？

好吧，其实主要是这种方式也报错了。

java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'

我们平时模糊查询怎么写呢？

——使用CONCAT()函数来拼接keyword。

以此类推，那我用一个函数来去掉'不就行了。

那用一个什么函数呢？

——REPLACE

所以写法就变成了这样：

    <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
    </select>

问题解决

OK，最终问题解决。

    <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
    </select>

上去吧，吴老二！

---

问题比较简单，处理起来也是三下五除二，但是分析的过程还有点意思，所以发出来给大家瞧瞧。

PS：有读者朋友催更SringCloud Alibaba实战系列，抱歉，最近加班、刷题，只能暂时停更。不过大家不要担心没得学，我的朋友Jam哥已经更了三十几篇高质量教程，百度搜Java日知录，快乐继续。

“简单的事情重复做，重复的事情认真做，认真的事情有创造性地做。”——

我是三分恶，一个能文能武的全栈开发！

点赞、关注不迷路，咱们下期见！