select * from user order by userid,name
在程序中就是user对象userid、name属性,我需要通过这两个属性排序
select sum(age) from user group by userdep;
同样在程序中存在这user bean里面有userdep这属性,根据算法分组获取每个部门的成员总和
select * from user order by userid,name
在程序中就是user对象userid、name属性,我需要通过这两个属性排序
select sum(age) from user group by userdep;
同样在程序中存在这user bean里面有userdep这属性,根据算法分组获取每个部门的成员总和
凡是字符串但又不能加引号的位置都不能预编译参数化,这种场景不仅order by,还有group by。
防御
这种场景下,通常采用白名单,只开放有限集合,使用间接对象引用,
如果传来的参数不在白名单列表中,直接返回错误即可。