nutz dao.fetch() dao.query() 这类底层机制。可以防止sql注入吗？

Devicemsgcheck dc=dao.fetch(Devicemsgcheck.class,Cnd.where("uid", "=", user.getId()));？类似于这种
和devicetouids = dao.query(Devicetouid.class, Cnd.where("sellerid", "=", sellerid));？这种

wendal

1楼•2349天前

都会生成PreparedStatement语句, 参数在sql中均为问号, 不会直接拼入SQL的, 是通过statement.setXXX进行传值的.

请先登陆