Static中的sql语句可以传参数吗
cnd.and(new Static(" exists(select 1 from be_SellDetail a where a.state =@参数"));
并不能.
哪个用法可以Cnd.wrap可以不
貌似写不了, 先用Sqls.escapeFieldValue抹除特殊字符,然后拼进去吧
@那个字符串是自定义SQL里面的, Cnd那堆类并无解析功能...
Sqls.escapeFieldValue可以解决sql注入问题不,比如: or 1=1
or 1=1 这些注入的关键是前面带个单引号/双引号, Sqls.escapeFieldValue 会干掉单引号/双引号
收到
