关于第4个例子中SQL注入的问题

来源:3-3 条件构造器查询(2)

幕布斯3077646

2020-08-07 15:29

老师在讲第4个例子的时候说在输入日期参数的时候使用占位符来防止sql注入,但是在使用'inSql()'方法的时候使用的是一个字符串拼接,例子中的‘王姓’在实际场景中应该也是前端传过来的参数吧,这个情况我们该怎么来防止SQL注入呢?

写回答 关注

2回答

  • 老猿
    2020-08-09 16:34:48
    已采纳

    1、insql这种使用sql注入风险,但是你可以自己防止sql注入,例如保证拼接进来的参数,是后端逻辑计算出来的,并且不存在风险的,不是前端传的,如果是前端传的,不建议用这种方式拼接。

    2、“王姓”的那个我应该用的是likeRight吧,这个不存在注入风险,你看看打印出来的sql语句就明白了。

  • 幕布斯3077646
    2020-08-10 04:22:56

    明白了,谢谢老师讲解

MyBatis-Plus入门

MyBatis-Plus框架入门必学课程!

56140 学习 · 381 问题

查看课程

相似问题