miniDao如何循环中使用:item方式生成变量绑定的sql

朱文杰 · 发表于 2017-8-18 20:06:28

在使用miniDao进行数据库查询时，有时需要查询不确定个数的list变量。比如查询品牌为“奔驰、宝马”的车辆，或者品牌为“奔驰、宝马、奥迪”的车辆，此时查询条件不确定个数，在书写sql时必定会用到循环。

用到循环后，<#list carList as carItem> 在代码中使用${carItem}可以正常绑定变量进行查询（但是这种方式存在sql注入的问题）。而如果使用:carItem的方式就无法查询。

请大神帮忙看看有什么办法即防止sql注入，又能正常查询。

朱文杰 · 发表于 2017-8-21 09:50:11

自己顶，没人解决吗？

admin · 发表于 2017-8-22 17:21:51

参考freemarker语法，minidao的模板引用用的就是freemarker

朱文杰 · 发表于 2017-8-22 19:06:18

我看了一下，没有动态变量，实现不了。比如3次for循环后，需要的变量为:status1、:status2、:status3，而freemarker不能动态的声明变量，理想的写法是：:status[index]，这么写的话是报错的。

admin · 发表于 2017-8-22 21:25:33

采用${变量}写法

朱文杰 · 发表于 2017-8-23 19:18:06

这种写法有sql注入风险哈

admin · 发表于 2017-8-23 20:00:13

是的