每个人都可以，
拥有SSL证书

深入剖析MyBatis动态SQL拼接中因字段名与排序方式间缺少空格导致的SQL语法错误。

手动添加空格、巧用trim标签的修复策略，并强调参数合法性验证与SQL注入防护的最佳实践，确保代码安全与可维护性。

在MyBatis开发中，动态SQL拼接是常见的需求，但空格缺失问题往往导致SQL语法错误。深入分析该问题，并提供有效的解决方案。

问题背景

在MyBatis中，使用动态SQL拼接时，如果字段名和排序方式之间缺少空格，会导致生成的SQL语句出现语法错误。例如，以下代码：

<if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
    ORDER BY ${param.column}${param.sort}
</if>

可能会生成类似ORDER BY columnNamedesc的SQL语句，从而引发语法错误。

问题分析

1. 动态SQL拼接问题：

   • 在MyBatis中，${}直接将参数值拼接到SQL中，不会自动添加空格。
   • 如果param.column和param.sort之间没有空格，生成的SQL会变成类似ORDER BY columnNamedesc，导致语法错误。

2. SQL注入风险：

   • 使用${}直接拼接参数存在SQL注入风险，需要确保参数值是安全的。

解决方案

手动添加空格

在动态SQL中，手动在字段名和排序方式之间添加空格：

<if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
    ORDER BY ${param.column} ${param.sort}
</if>

注意：

• ${param.column}和${param.sort}之间必须有空格。
• 确保param.column和param.sort的值是安全的，避免SQL注入。

使用trim标签优化

为了避免忘记添加空格，可以使用trim标签来自动处理：

来此加密打破SSL证书高门槛。免费用户即可申请通配符、IP证书及多域名证书，单张最多100个域名。采用HTTP代理或DNS接口自动验证，证书自动部署，零技术门槛轻松启用HTTPS。

<if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
    <trim prefix="ORDER BY" suffixOverrides=",">
        ${param.column} ${param.sort}
    </trim>
</if>

说明：

• prefix="ORDER BY"：在生成的SQL前添加ORDER BY。
• suffixOverrides=","：移除多余的逗号（虽然这里用不到，但可以用于更复杂的场景）。

验证参数合法性

为了防止SQL注入，可以在业务逻辑中验证param.column和param.sort的值是否合法。例如，限制param.column只能是数据库中存在的字段名，param.sort只能是ASC或DESC。

示例代码：

// 验证字段名和排序方式
private boolean isValidSortParam(String column, String sort) {
    List<String> allowedColumns = Arrays.asList("id", "name", "create_time"); // 允许的字段名
    List<String> allowedSorts = Arrays.asList("ASC", "DESC"); // 允许的排序方式
    return allowedColumns.contains(column) && allowedSorts.contains(sort.toUpperCase());
}

// 在业务逻辑中调用
if (isValidSortParam(param.getColumn(), param.getSort())) {
    // 执行查询
} else {
    throw new IllegalArgumentException("Invalid sort parameters");
}

完整示例

Mapper XML：

<select id="selectWithOrder" resultType="YourResultType">
    SELECT * FROM your_table
    <where>
        <!-- 其他条件 -->
    </where>
    <if test="param.column != null and param.column != '' and param.sort != null and param.sort != ''">
        <trim prefix="ORDER BY" suffixOverrides=",">
            ${param.column} ${param.sort}
        </trim>
    </if>
</select>

Java代码：

@Mapper
public interface YourMapper {
    List<YourResultType> selectWithOrder(@Param("param") SortParam param);
}

public class SortParam {
    private String column;
    private String sort;

    // Getters and setters
}

• 核心问题：动态SQL拼接时缺少空格，导致SQL语法错误。
• 解决方案：
  1. 手动在字段名和排序方式之间添加空格。
  2. 使用trim标签优化SQL拼接。
  3. 验证参数合法性，防止SQL注入。
• 最佳实践：在业务逻辑中严格验证动态SQL参数，确保安全性和正确性。

通过以上方法，可以有效解决动态SQL拼接时空格缺失的问题，同时提高代码的安全性和可维护性。