传参及sql注入问题

blinkfox / fenix

This is an extension library to the Spring Data JPA complex or dynamic SQL query. 这是一个比 MyBatis 更加强大的 Spring Data JPA 扩展库，为解决复杂动态 JPQL (或 SQL) 而生。https://blinkfox.github.io/fenix

https://blinkfox.github.io/fenix

Apache License 2.0

345 stars 72 forks source link

传参及sql注入问题 #88

Open tly1995 opened 3 weeks ago

tly1995 commented 3 weeks ago

我有一个sql,条件是 time <= DATE_SUB(NOW,INTERVAL '30' MINUTE) ,30需要带引号才行必须是字符串,int类型无法运行(和mysql不同),此时我用fenix写的语法为and time <=DATE_SUB(NOW,INTERVAL #{num} MINUTE) ,，num传入字符串30("30"),但是这样书写无法运行,必须改成‘${num}’才能正常运行,但是使用$传参会有sql注入风险,我应该如何正确接参