public boolean del(String ids) throws SQLException{
Map paramMap=new HashMap();
String sql="DELETE FROM Position WHERE id in(:id)";
paramMap.put("id", ids);
return baseDao.update(sql, paramMap);
}
如上面代码,当传过来ids= "1,2,3,4"删除字符串拼接成的id时,NamedParameterJdbcTemplate会自动加上单引号变成
DELETE FROM Position WHERE id in('1,2,3,4')
当执行是mysql数据库默认删除id为1的数据,拼接的话不能有效防止注入,求解决办法
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。