我正在学习hibernate框架,想知道以下代码中是否可以使用SQL注入?
getHibernateTemplate().find("select name from users where city=?", new Object[] { u_city });
有更好的方法吗? (在安全方面)
答案 0 :(得分:2)
这种方式是安全的,并且不能在此注入SQL。
如果您使用如下,则很有可能进行SQL注入
getHibernateTemplate().find("select name from users where city="+'Colombo');