每个人都可以，
拥有SSL证书

最近线上日志突然开始报SQL语法错误，定位到一条排序查询，拼出来的SQL长这样：

ORDER BY columnNamedesc

很明显，字段名和排序方向之间没了空格。Mapper里是这么写的：

<if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
    ORDER BY ${param.column}${param.sort}
</if>

$ 占位符是直接往SQL里塞字符串，完全不会自动补空格，所以只要 column 和 sort 两个变量贴在一起，拼出来的就是 ORDER BY columnNamedesc 这种畸形语句。

手动加个空格就能解决：

ORDER BY ${param.column} ${param.sort}

不过这种写法依赖每个开发都记得留空格，时间长了或者别人改代码，很容易再次踩坑。后来我改用 trim 标签把 ORDER BY 前缀单独抽出来，让拼接更明确：

<if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
    <trim prefix="ORDER BY" suffixOverrides=",">
        ${param.column} ${param.sort}
    </trim>
</if>

这里 suffixOverrides="," 虽然在这个单字段排序场景用不到，但如果是多字段排序用逗号拼接的场景，这个属性会自动去掉末尾多余的逗号，保留着也不碍事。

上面这些只解决了空格问题，$ 占位符本身还有SQL注入风险。

如果 param.column 或 param.sort 的值来自前端，有人可能传一个 "1; DROP TABLE..." 进来。所以在进Mapper之前必须做一层校验。我一般会在Service层加个白名单检查：

private boolean isValidSortParam(String column, String sort) {
    List<String> allowedColumns = Arrays.asList("id", "name", "create_time");
    List<String> allowedSorts = Arrays.asList("ASC", "DESC");
    return allowedColumns.contains(column) && allowedSorts.contains(sort.toUpperCase());
}

不合法的参数直接抛异常，不让它走到SQL拼接。这个白名单要跟实际表字段严格对齐，加新字段记得同步更新，不然线上又会报错。

完整示例的Mapper大概是这样：

<select id="selectWithOrder" resultType="YourResultType">
    SELECT * FROM your_table
    <where>
        <!-- 其他条件 -->
    </where>
    <if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
        <trim prefix="ORDER BY" suffixOverrides=",">
            ${param.column} ${param.sort}
        </trim>
    </if>
</select>

对应的接口和参数类：

@Mapper
public interface YourMapper {
    List<YourResultType> selectWithOrder(@Param("param") SortParam param);
}

public class SortParam {
    private String column;
    private String sort;
    // getters and setters
}

其实这类问题本身不复杂，但线上排错的时候可能会被日志里那段没有空格的SQL绕进去一两分钟，尤其是凌晨被报警叫起来。

一次把空格补上、加上 trim、做好白名单校验，后面这种排序相关的动态SQL就能踏实不少。