问题描述
我需要使用一些查询,例如
select * from StudentTable where ${columnName}=#{columnValue}
注意 columnName 和 columnValue 由用户提供。我在 Mybatis 中使用 Spring Boot 应用程序。此查询按预期工作,但它报告了某些工具中 sql 注入的可能性。我怎样才能以不同的方式完成这项工作?
select * from StudentTable where #{columnName}=#{columnValue}
这行不通,没有输出。
Select * from StudentTable where Joiningdate < Now()-INTERVAL '${configureddays} DAY'
这个也报告了 sql 注入的可能性,但查询有效。用 # 替换在这里也无济于事。如何重构这两个查询?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)