实现sql注入非常简单,用${sqlString} 注入即可。
实现sql自动注入
接口部分:
public List<LinkedHashMap<String, Object>> customQueryProduct(String sqlContent);
sql部分:
<select id="customQueryProduct" parameterType="String" resultType="java.util.LinkedHashMap">
<![CDATA[
SELECT * FROM (${value}) obj
]]>
</select>
注:
sql注入风险极高,一定谨慎使用。例如不小心输入删除表语句,那就万劫不复了。
传入sql的变量名,不要和关键字同名,否则易报错。
建议: 在controller里面最好加规则限制,例如包含drop,truncate,delete 字样的语句要进行过滤,减少犯错的几率。
delete接口不要轻易开放
delete接口一般不要轻易开放,因为确实有风险,别人调用delete接口直接就可以删除数据。
一般都是service中是有delete方法的。 糅合到业务中是可以的。但是单独的删除操作还是慎用。