select *
from 不确定表名,表名是前端发过来的
where 不确定有几个条件,可能是一个,也可能是多个,还可能没有
条件的字段名和属性都是未知的
比如
where id like '%5%' and name like '%王%'
其中id和5都是前端发过来的 我用HttpServletRequest进行接收
我用的是whereSql进行拼接的实现
有没有办法不用拼接的
如果没有那怎么防sql注入
用参数啊。别用字符串拼接的方法写
如果连搜索字段和表名都是要通过前端传递的话,就没有办法防止 SQL 注入的哦。
除非限制只允许 SQL 查询,字段用下拉选择,值不允许有 SQL 的注释特殊字符。