minidao通过Map传值如何防止sql注入

南柯梦。 · 发表于 2017-5-18 10:55:51

本公司持久层用的是贵社区的开源框架minidao，但我查阅minidao的文档后，发现我们公司用的方式跟文档所述有些不一致。
现在我们公司采用的传值方式都是用Map进行传值，后台用${}进行解析，但我发现这种做法存在sql注入，查阅minidao文档后，只有【: 字段名】方式才防止sql注入，但我们公司用Map进行传值，这种方式好像解析不了，还请各位给我一点头绪。

Dao层写法：
调用方式.png

sql文件解析：

admin · 发表于 2017-5-18 12:36:38

采用通配符方式

南柯梦。 · 发表于 2017-5-18 13:39:55

admin 发表于 2017-5-18 12:36
采用通配符方式

采用Map方式传递值，在sql文件中使用【:】方式的占位符吗，我试了不行呀。

admin · 发表于 2017-5-18 13:54:43

可以的，你看看minidao的例子，可能你的用法不对

南柯梦。 · 发表于 2017-5-18 14:12:19

admin 发表于 2017-5-18 13:54
可以的，你看看minidao的例子，可能你的用法不对

例子中没有Map传值的举例，但我们各个项目都用了这种方式，现在改动起来范围太大。

admin · 发表于 2017-5-18 14:25:25

采用什么方式传值无所谓
http://git.oschina.net/jeecg/minidao-pe

南柯梦。 · 发表于 2017-5-18 14:42:48

admin 发表于 2017-5-18 14:25
采用什么方式传值无所谓
http://git.oschina.net/jeecg/minidao-pe

minidao-pe版和minidao有什么区别吗，我看了下minidao-pe好像少了支持Hbiernate实体维护自动生成SQL的功能