微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

为什么 ${column_name} 容易受到 SQL 注入的攻击?

如何解决为什么 ${column_name} 容易受到 SQL 注入的攻击?

我需要使用一些查询,例如

select * from StudentTable where ${columnName}=#{columnValue}

注意 columnName 和 columnValue 由用户提供。我在 Mybatis 中使用 Spring Boot 应用程序。此查询按预期工作,但它报告了某些工具中 sql 注入的可能性。我怎样才能以不同的方式完成这项工作?

select * from StudentTable where #{columnName}=#{columnValue}

这行不通,没有输出

Select * from StudentTable where Joiningdate < Now()-INTERVAL '${configureddays} DAY' 

这个也报告了 sql 注入的可能性,但查询有效。用 # 替换在这里也无济于事。如何重构这两个查询

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。