摘要:
1.在参数传递过程中,SQL语句可能会注入StringBuffersb=newStringBuffer();if(StringUtils.isNotBlank(areaCode)){sb.append(“andt.areaCode='”).append;
1、传参时有可能出现SQL语句注入
StringBuffer sb = new StringBuffer();
if(StringUtils.isNotBlank(areaCode))
{
sb.append("and t.area_code = '").append(areaCode).append("' ");
}
SQLQuery query = getSession().createSQLQuery(sb.toString());
2、传参时避免SQL语句注入(改进方法)
StringBuffer sb = new StringBuffer();
if(StringUtils.isNotBlank(areaCode))
{
sb.append("and t.area_code = :areaCode ");
}
SQLQuery query = getSession().createSQLQuery(sb.toString());
if(StringUtils.isNotBlank(areaCode))
{
query.setParameter("areaCode",areaCode);
}