V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
› MySQL 5.5 Community Server
› MySQL 5.6 Community Server
› Percona Configuration Wizard
› XtraBackup 搭建主从复制
Great Sites on MySQL
› Percona
› MySQL Performance Blog
› Severalnines
推荐管理工具
› Sequel Pro
› phpMyAdmin
推荐书目
› MySQL Cookbook
MySQL 相关项目
› MariaDB
› Drizzle
参考文档
› http://mysql-python.sourceforge.net/MySQLdb.html
MySQL 相关项目
› MariaDB
› Drizzle
参考文档
› http://mysql-python.sourceforge.net/MySQLdb.html
This topic created in 1707 days ago, the information mentioned may be changed or developed.
SELECT a, b, c, d FROM table ORDER BY a DESC;
order by 是动态的根据传入的 a,b,c,d 带进去的。
我从 orm 插入后是个字符串.....
SELECT a, b, c, d FROM table ORDER BY 'a' DESC;
 |
1
ooh Aug 27, 2021
啥语言 哪个 orm 库
|
 |
2
Variazioni Aug 27, 2021
写法取决于你用的 orm 库
|
 |
3
strawberryBug Aug 27, 2021 via Android
入参做了严格检验的话,字段可以用 sql 注入
|
 |
4
qping Aug 27, 2021
java mybatis 的话是 ${} 和 #{} 的区别
|
 |
5
Oktfolio Aug 27, 2021
直接拼接上去,不要用 preparedstatement 噢,注意限制字段
|
 |
6
vindac Aug 27, 2021
字符串拼接
|
 |
7
opengps Aug 27, 2021
整个查询语句包裹一层,然后后重新使用 order by 对别名列排序
|
 |
8
NutChocHoney Aug 27, 2021
mybatis 的话 用#{}就会有这个问题
|
 |
9
passerbytiny Aug 27, 2021 via Android
order by 后面的列,只能是拼接 SQL 拼接上去,不能用预编译后再设置参数。
|
 |
10
shakaraka OP PRO golang 的 gorm,用?拼上去的。
好像看来只能用拼字符串了。会不会出现注入问题啊 |
 |
11
acr0ss Aug 27, 2021
从官方文档来看: https://dev.mysql.com/doc/refman/8.0/en/select.html
[ORDER BY {col_name | expr | position} [ASC | DESC], ... [WITH ROLLUP]] 这里 order by 只接收 3 种形式: 1. 字段名,包含 alias ; 支持用`包裹,例如 `a`; 2. expr 表达式,例如 concat(a, b) 3. position,数字引用,例如 1,表示第一个 select 字段。 就目前问题描述来看,如果 SQL 是最终执行的语句,会解析为第二种。 即所有行的表达式都是常量 'a',这个 order by 等于无效。 |
 |
12
Jooooooooo Aug 27, 2021
拼一下
注意注入, 不要让外部传入这个拼的东西, 或者内部做校验 |
Select Language