1.like拼接字符串 2.order by拼接字符串 解法:校验 order by的参数 String orderSql = StringUtil.isNotBlank(adminTimeOrder) ? "order by admin_time " + adminTimeOrder : ""; 其中adminTimeOrder可以写成 ;select * from table_name 这样就可以导致查询数据表里的所有数据。