通过查询配置的参数组合拼成sql语句会有漏洞吗

szjazz

通过参数json对象，组合拼接出的sql（编写sqlJson类的方法buildSelectSQL(parameters)，可以灵活过滤条件，灵活输出字段
请问这样的方式会不会有sql漏洞，被注入？

论坛管理员

这个要看您buildSelectSQL方法的写法，如果您用的字符串+"什么什么"的方式去拼接的sql语句，就有漏洞，
如果您用的是select o from Task o where o.person = :person这种直接等于变量的方式，就不会有漏洞
您可以把您如何拼接sql语句的这段，截图出来看看

szjazz

借助参数值拼接的sql语句有漏洞
直接调用参数值不再加工拼接的sql语句无漏洞
明白了，谢谢！
是否这样理解？

论坛管理员

是的