minidao通过Map传值如何防止sql注入
本公司持久层用的是贵社区的开源框架minidao,但我查阅minidao的文档后,发现我们公司用的方式跟文档所述有些不一致。现在我们公司采用的传值方式都是用Map进行传值,后台用${}进行解析,但我发现这种做法存在sql注入,查阅minidao文档后,只有【: 字段名 】方式才防止sql注入,但我们公司用Map进行传值,这种方式好像解析不了,还请各位给我一点头绪。
Dao层写法:
sql文件解析:
采用通配符方式 admin 发表于 2017-5-18 12:36 static/image/common/back.gif
采用通配符方式
采用Map方式传递值,在sql文件中使用 【:】方式的占位符吗,我试了不行呀。 可以的,你看看minidao的例子,可能你的用法不对 admin 发表于 2017-5-18 13:54 static/image/common/back.gif
可以的,你看看minidao的例子,可能你的用法不对
例子中没有Map传值的举例,但我们各个项目都用了这种方式,现在改动起来范围太大。 采用什么方式传值无所谓
http://git.oschina.net/jeecg/minidao-pe admin 发表于 2017-5-18 14:25 static/image/common/back.gif
采用什么方式传值无所谓
http://git.oschina.net/jeecg/minidao-pe
minidao-pe版和minidao有什么区别吗,我看了下minidao-pe好像少了支持Hbiernate实体维护自动生成SQL的功能
页:
[1]