SQL.select()方法参数用法

wurui8 · 发表于 2020-8-5 22:06:11

KQL的参数用法是：
Map<String, Object> params = new HashMap<String, Object>();
params.put("id", ContextHelper.getPerson().getID());
Table table = KSQL.select("select p.sPassword from SA_OPPerson p where p = :id", params, "/system/data", null);

问题是：
public static Table select(Map<String, String> sql, List binds, String dataModel)
查询操作
参数: Map<String, String> sql 针对不同数据库的sql语句 List binds 参数列表 String dataModel 执行查询的数据模块
这个的参数列表 binds具体用法是如何写。比如： 'aa'想用参数的方法传入，怎么写 Table table = SQL.select("select p.sPassword from SA_OPPerson p where p ='aa', null, "/system/data", null);

jishuang · 发表于 2020-8-6 10:16:38

参考

wurui8 · 发表于 2020-8-6 10:41:46

KSQL的这个知道这么用。 SQL.select的参数怎么写

wurui8 · 发表于 2020-8-6 10:43:26

比如：下面这个sql的 'aa' 想用参数的方法传入，怎么写 Table table = SQL.select("select p.sPassword from SA_OPPerson p where p ='aa', null, "/system/data", null);

wurui8 · 发表于 2020-8-6 10:47:25

还有个问题用smartFilter组件查询数据。存在 sql注入的问题。比如：输入 ajsjsnsjsjsj' or 'a' like 'a 这个可以查出所有数据。这种问题怎么处理，平台默认对sql注入不是有处理吗？

jishuang · 发表于 2020-8-6 15:52:36

filter的sql注入可以参考http://bbs.wex5.com/forum.php?mo ... 5&pid=165543317

wurui8 · 发表于 2020-8-7 15:18:25

对SmartFilter组件的取值做了判断，包含了特殊字符的数据，做了处理。这样就不会提交到后台，去查询数据。如果按重写queryAction的方法做，工作量太大。

jishuang · 发表于 2020-8-10 11:25:51

重写queryAction可以重写统一的bizQueryProcedure的java代码就可以

wurui8 · 发表于 2020-8-10 13:53:54

jishuang 发表于 2020-8-10 11:25
重写queryAction可以重写统一的bizQueryProcedure的java代码就可以

有具体案例可参考吗

jishuang · 发表于 2020-8-10 17:08:34

没有

		自动登录	找回密码
密码			注册

[处理中3] SQL.select()方法参数用法