SQL--动态列名

前几天遇到一个问题，就是查询时，列名是不固定的，是动态的，是一个传递过来的变量,简写如下：

select entName,entCode,province 
from ent_table 
where province=#{province} 
and #{type} = 1

这个type,是这个表的列名，但是不固定，具体是哪一列，需要看前面传递过来的是什么，当时用上面的这个语句，怎么都不行，后来，猛然想起来，在mybatis中，#和$的使用时有区别的，弄清了这个区别，就知道这个语句该怎么写了

1.#是把传入的数据当作字符串，如#field#传入的是id,则sql语句生成是这样，order by "id",这当然会报错。 2.$传入的数据直接生成在sql里，如$field$传入的是id,则sql语句生成是这样，order by id, 这就对了。 3.#可以避免sql注入。因为传递的东西，被当做字符串拼接到了sql语句中，而$是在向数据库发出sql之前去拼接好sql再提交给数据库执行。 4.一般情况下推荐使用#，能用#就别用$，因为这样安全。 5.但是一些特殊情况下必须要用${}，比如：          动态拼接sql中动态组成排序字段， 要通过${}将排序字段传入sql中。          动态拼接sql中动态组成表名，要通过${}将表名传入sql中。  动态拼接sql中动态传入列名，要通过${}将列名传入sql中。 因此，上面的sql，根据上面的第五条，简单修改，即可。

select entName,entCode,province 
from ent_table 
where province=#{province} 
and ${type} = 1

其他示例：

    SELECT count(b.id) from ent a,interview b
    where 1 = 1
    and a.delete_flag = 0
    and a.plat_from = #{platFrom}
    and a.${layoutType} = #{layoutId}
    and a.eid = b.eid
    and DATE_FORMAT(b.create_time,'%Y') = #{year}