mybatis在實作動態表名傳參時,可以使用${tableName}來實作,但這會發生sql注入的問題。而我們如果使用#{tableName}又會多出引號,造成sql出錯。 針對動態表名傳參問題有大佬有解決方案的?
uj5u.com熱心網友回復:
直接寫個Mybatis插件 把sql陳述句中 tableName替換了行不行。。uj5u.com熱心網友回復:
${tableName} 可以用這個來實作。自己對引數進行過濾呢。不允許有特殊符號做為tableName引數的值就可以了。uj5u.com熱心網友回復:
這個在實際中應該能算個備選方案,但是lz目前遇到的是漏洞檢測報告反饋的sql注入問題,它掃描的是mybatis組態檔中的${}變數
uj5u.com熱心網友回復:
你們準備怎么處理?1.直接全部拆分了吧。。轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/53756.html
標籤:Java相關
上一篇:JAVA GUI編程框架。
下一篇:html中用JS讀取文本框陣列
