50,523
社区成员
发帖
与我相关
我的任务
分享mybatis 动态表名的传参问题,花了好长时间都没解决
mybatis在实现动态表名传参时,可以使用${tableName}来实现,但这会发生sql注入的问题。而我们如果使用#{tableName}又会多出引号,造成sql出错。 针对动态表名传参问题有大佬有解决方案的?
...全文
请发表友善的回复…
发表回复
li905663280 2020-06-14
- 打赏
- 举报
${tableName} 可以用这个来实现。自己对参数进行过滤呢。不允许有特殊符号做为tableName参数的值就可以了。
li905663280 2020-06-14
- 打赏
- 举报
直接写个Mybatis插件 把sql语句中 tableName替换了行不行。。
li905663280 2020-06-14
- 打赏
- 举报
你们准备怎么处理?1.直接全部拆分了吧。。
qq_29598869 2020-06-14
- 打赏
- 举报
这个在实际中应该能算个备选方案,但是lz目前遇到的是漏洞检测报告反馈的sql注入问题,它扫描的是mybatis配置文件中的${}变量
sytwan555 2021-12-22
- 举报
想知道楼主最终怎么解决的
