使用的版本是1.0.18,环境添加了wallfilter,默认配置commentAllow=false
sql1:
SELECT
*
FROM t_file_info
-- 我的sdfs
WHERE 1=1 AND id=#{id}
sql2:
SELECT
*
FROM t_file_info
-- 我的where a=1
WHERE 1=1 AND id=#{id}
sql1的执行没有问题
sql2的执行报:
Error querying database. Cause: java.sql.SQLException: sql injection violation, comment not allow
如果是不允许sql中由注解,是否是在以上两段sql中都应该抛异常呢。
1条答案
按热度按时间drnojrws1#
第一段没注入风险,第二段有