mybatisダイナミックパス名(statementType=「STATEMENT」を追加しなくてもいいです。)
669 ワード
mybatis動的な発信表名は、statementType=「STATEMENT」を追加しますか?
答え:
①「statementType=「STATEMENT」を追加しなくてもいいです。(進化しました!!もっと柔軟です!)
②確かに$
③直接${}を採用すると、確かに安全ではないので、SQLが攻撃に注ぎ込む危険があります。普通はSpringMVC層で敏感文字を意味します。例えば、「>」は「>」で表しています。ネット上にはパッケージ関数がたくさんあります。あるいは、apphe common langバッグのStringEscappeUtils.escapeHtmlなどがあります。
また、ㄟ{}と${}は同時に存在してもいいです。また、ㄟ{}と${}は同時に存在してもいいです。また、ㄟ{}と${}は同時に存在してもいいです。
信じないなら試してもいいです。
答え:
①「statementType=「STATEMENT」を追加しなくてもいいです。(進化しました!!もっと柔軟です!)
②確かに$
③直接${}を採用すると、確かに安全ではないので、SQLが攻撃に注ぎ込む危険があります。普通はSpringMVC層で敏感文字を意味します。例えば、「>」は「>」で表しています。ネット上にはパッケージ関数がたくさんあります。あるいは、apphe common langバッグのStringEscappeUtils.escapeHtmlなどがあります。
また、ㄟ{}と${}は同時に存在してもいいです。また、ㄟ{}と${}は同時に存在してもいいです。また、ㄟ{}と${}は同時に存在してもいいです。
信じないなら試してもいいです。