这段代码会有sql注入的安全问题吗?

这段代码会有sql注入的安全问题吗?

    public static List<Map<String,Object>> getEmpNo(Object deptno)
    {
        StringBuilder sql = new StringBuilder();
        sql.append("select * from a where 1=1 ");
        if(deptno!=null) {
            sql.append("deptno="+deptno+" ");
        }
        return dao.query(sql.toString());
    }

不知道诶，在取得对象之前有没有对对象做过处理？用正则表达式对取得的对象做一下处理才可能没有问题。

“0 or 1=1” 这样你加的条件就废了