今天写代码的时候在order的sql中需要用到动态的参数,于是习惯性的使用了#结果测试了半天一直报错,想了想觉得不对啊,怎么会错呢?上网一查才知道,order后面的参数不应该被转义,而#后面的参数是被要转义的,目的是防止sql注入,但是order后面一般都使用的是非转义的字符,所以在order中使用动态变量时要用$,例如:
select username,address,age from user order by ${orderColumn} ${order}
orderColumn你可以写成1,2之类的数字,而order可以写成我们熟悉的desc/asc
好了,遇到这个问题的小伙伴们快去修改吧。
原文:http://my.oschina.net/sucre/blog/377940