mybatis动态传入表名和字段名会有sql注入的危险,如果我指定返回类型是不是就可以解决这个问题?
楼上说的差不多了,其实你可以先去看下$ 和# 的区别,第二,客户端输入也不是不可以用$ ,只是会设计到一些列的验证,常见的就是检查关键字,比如and ,insert 等等
指定返回类型和sql注入没有关系,返回类型表示这个sql都已经执行了。
动态传入表名和字段名,只要这个字段不是来自用户输入的话,就不会存在sql注入的问题。如果是客户端输入的话,就不能使用$ 符了
如果能明确动态传入的数据类型,可以在SQL里强转。
如果根本就不能确定动态传入的数据类型,那么最好是在后台转成与数据库字段对应的数据类型,再调用SQL。
比较想要玩,就得游戏规则,这对后期系统维护也是好的!