String qstr = "select * from users where user_type=?1 offset ?2 limit ?3"
Query query = entityManager.createNativeQuery(qstr, User.class);
query.setParameter(1, type);
query.setParameter(2, offset);
query.setParameter(3, limit);
这里的 type、offset 和 limit 是用户输入的。
Sonarcube 在 createNativeQuery 处显示 SQL 注入。 谁能说一下防止sql注入的解决方案是什么?
当指定类型为“1 and 1 = 1”时会导致sql注入
J.wxh 你的意思是类型是“1 or 1 = 1”