SQL语句查询时防止SQL语句注入的方法之一
1、传参时有可能出现SQL语句注入
StringBuffer sb = new StringBuffer(); if(StringUtils.isNotBlank(areaCode)) { sb.append("and t.area_code = ‘").append(areaCode).append("‘ "); } SQLQuery query = getSession().createSQLQuery(sb.toString());
2、传参时避免SQL语句注入(改进方法)
StringBuffer sb = new StringBuffer(); if(StringUtils.isNotBlank(areaCode)) { sb.append("and t.area_code = :areaCode "); } SQLQuery query = getSession().createSQLQuery(sb.toString()); if(StringUtils.isNotBlank(areaCode)) { query.setParameter("areaCode",areaCode); }
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。