NutzCN Logo
问答 Static中的sql语句可以传参数吗
发布于 2928天前 作者 ecoolper 1895 次浏览 复制 上一个帖子 下一个帖子
标签:

Static中的sql语句可以传参数吗

cnd.and(new Static(" exists(select 1 from be_SellDetail a where a.state =@参数"));
7 回复

哪个用法可以Cnd.wrap可以不

貌似写不了, 先用Sqls.escapeFieldValue抹除特殊字符,然后拼进去吧

@那个字符串是自定义SQL里面的, Cnd那堆类并无解析功能...

Sqls.escapeFieldValue可以解决sql注入问题不,比如: or 1=1

or 1=1 这些注入的关键是前面带个单引号/双引号, Sqls.escapeFieldValue 会干掉单引号/双引号

添加回复
请先登陆
回到顶部