SQL.select()方法参数用法

wurui8

KQL的参数用法 是：
Map<String, Object> params = new HashMap<String, Object>();
                params.put("id", ContextHelper.getPerson().getID());
                Table table = KSQL.select("select p.sPassword from SA_OPPerson p where p = :id", params, "/system/data", null);

问题是：
public static Table select(Map<String, String> sql, List binds, String dataModel)
查询操作
参数: Map<String, String> sql 针对不同数据库的sql语句 List binds 参数列表 String dataModel 执行查询的数据模块
这个的参数列表 binds具体用法是如何写。 比如：   'aa'想用参数的方法传入，怎么写        Table table = SQL.select("select p.sPassword from SA_OPPerson p where p ='aa', null, "/system/data", null);

jishuang

参考

wurui8

KSQL的这个知道 这么用。  SQL.select的参数怎么写

wurui8

比如：  下面这个sql的  'aa' 想用参数的方法传入，怎么写        Table table = SQL.select("select p.sPassword from SA_OPPerson p where p ='aa', null, "/system/data", null);        

wurui8

还有个问题 用smartFilter组件查询数据。存在 sql注入的问题。  比如： 输入   ajsjsnsjsjsj' or 'a' like 'a  这个可以查出所有数据。   这种问题怎么处理，平台默认对sql注入不是有处理吗？

jishuang

filter的sql注入可以参考http://bbs.wex5.com/forum.php?mo ... 5&pid=165543317

wurui8

对SmartFilter组件的取值做了判断，包含了 特殊字符的数据，做了处理。这样就不会提交到后台，去查询数据。 如果按重写queryAction的方法做，工作量太大。

jishuang

重写queryAction可以重写统一的bizQueryProcedure的java代码就可以

wurui8

jishuang 发表于 2020-8-10 11:25
重写queryAction可以重写统一的bizQueryProcedure的java代码就可以

有具体案例可参考吗

jishuang

没有