SQL 注入
请注意
无论何时 SQL 注入都属于 危险 操作,开发者需要自己保证注入是安全的。
语句中使用 ${...}
写法,可以对已名称化的参数进行取值,并将结果注入到 SQL 语句中。
例如:通过 SQL 注入实现参数化排序
select * from users where id > #{id} order by ${order}
基本用法
Map<String, Object> args = CollectionUtils.asMap(
"id", 2,
"order", "name desc"
);
jdbcTemplate.queryForList("select * from users where id > #{id} order by ${order}", args);