SQL语句查询时防止SQL语句注入的方法之一
浏览数:32 /
时间:2015年06月12日
1、传参时有可能出现SQL语句注入
StringBuffer sb = new StringBuffer();
if(StringUtils.isNotBlank(areaCode))
{
sb.append("and t.area_code = ‘").append(areaCode).append("‘ ");
}
SQLQuery query = getSession().createSQLQuery(sb.toString());
2、传参时避免SQL语句注入(改进方法)
StringBuffer sb = new StringBuffer();
if(StringUtils.isNotBlank(areaCode))
{
sb.append("and t.area_code = :areaCode ");
}
SQLQuery query = getSession().createSQLQuery(sb.toString());
if(StringUtils.isNotBlank(areaCode))
{
query.setParameter("areaCode",areaCode);
}郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
