qq_34819427 2018-10-05 15:16 采纳率: 0%
浏览 840

请问这种写法会发生sql注入问题吗

用的spring jdbc,这样算不算拼接sql语句,会产生sql注入问题吗

@Override
public List getUserListByUserIdAndName(Long userId, String userName) {
List userList = this.getJdbcTemplate().query(
"SELECT * FROM user WHERE is_display = true AND check_id = ? AND user_nam e = ?", this.getRowMapper(), userId, userName);
return userList;
}

  • 写回答

1条回答 默认 最新

  • threenewbee 2018-10-05 15:53
    关注

    你可以试试看,userName传入 xxx' or 1=1,看执行的sql是什么,如果 or 1=1没有包含在参数里,就说明注入了。

    评论

报告相同问题?