我有一个搜索框,我提交像java等文本,并根据我通过GORM找到的数据,如给定的代码:
def searchQueryInSession = params?.searchQuery
def searchSkill = MetaSkills.findAllByName(searchQueryInSession)
可以在这里进行sql注入吗?如果是,则如何在所描述的场景中防止此行为?
答案 0 :(得分:1)
答案是:否
GORM将使用类似于以下内容的绑定参数创建查询:
select m.* from meta_skills m where name = ?
所以,它不能改变你的程序并造成任何伤害。