問題
當使用${}寫sql時,如果輸入的字段中含有單引号,就會發生sql注入,改變原有的sql邏輯,應該如何處理呢?
解決
将單引号,替換為兩個單引号即可。
String regexp = "\'";
str.replaceAll(regexp, "\'\'");
當使用${}寫sql時,如果輸入的字段中含有單引号,就會發生sql注入,改變原有的sql邏輯,應該如何處理呢?
将單引号,替換為兩個單引号即可。
String regexp = "\'";
str.replaceAll(regexp, "\'\'");
![用mybatis的generator插件在項目中自動生成dao及entity[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)