通过查询配置的参数组合拼成sql语句会有漏洞吗
通过参数json对象,组合拼接出的sql(编写sqlJson类的方法buildSelectSQL(parameters),可以灵活过滤条件,灵活输出字段
请问这样的方式会不会有sql漏洞,被注入?
本帖最后由 论坛管理员 于 2024-11-25 10:52 编辑
这个要看您buildSelectSQL方法的写法,如果您用的字符串+"什么什么"的方式去拼接的sql语句,就有漏洞,
如果您用的是select o from Task o where o.person = :person这种直接等于变量的方式,就不会有漏洞
您可以把您如何拼接sql语句的这段,截图出来看看
本帖最后由 szjazz 于 2024-11-25 15:12 编辑
借助参数值拼接的sql语句有漏洞
直接调用参数值不再加工拼接的sql语句无漏洞
明白了,谢谢!
是否这样理解?
是的
页:
[1]