@JFinal 你好,想跟你请教个问题:
在我的项目中,需要做一个in查询,in查询的参数需要传递什么格式的呢,我试了String数组以及List<String>,发现都不行,求助!
刚好遇到这样的问题,学习了
用?号拼接就不会 纯在sql注入的问题了
StringBuffer where = new StringBuffer(50); where.append(" WHERE p1.catId IN ( "); for (int i = 0; i < productSize; i++) { if (i > 0) { where.append(",?"); } else { where.append("?"); } } where.append(" )");
这样写 很容易就被注入了
是呀,但是好像没有其它办法了
个人觉得自己组装成一个 字符串就行吧 比如in(?) ?="1,2,3,4"
试过了,只能删除 第一条。
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
暂无简介
文章 0 评论 0
接受
发布评论
评论(7)
刚好遇到这样的问题,学习了
用?号拼接就不会 纯在sql注入的问题了
StringBuffer where = new StringBuffer(50);
where.append(" WHERE p1.catId IN ( ");
for (int i = 0; i < productSize; i++) {
if (i > 0) {
where.append(",?");
} else {
where.append("?");
}
}
where.append(" )");
这样写 很容易就被注入了
是呀,但是好像没有其它办法了
个人觉得自己组装成一个 字符串就行吧 比如in(?) ?="1,2,3,4"
试过了,只能删除 第一条。
个人觉得自己组装成一个 字符串就行吧 比如in(?) ?="1,2,3,4"