2

我使用 Kotlin Exposed 创建查询。但是当我必须使用从客户端收到的参数时,我遇到了一个问题:

private fun accountInfo(msg: AccountInfoMsg) {
        transaction {
            val accountInfo = UserAccount.wrapRow(Account.innerJoin(Account_Banned).select {
                Account.email.eq(msg.login.toLowerCase()) and (Account.id eq Account_Banned.accountId)
            }.single())
        }
    }

那么如何创建准备好的语句或如何通过可能的 SQL 注入传递参数?

4

1 回答 1

6

Exposed 在幕后为您做到这一点。因为它将这项工作委托给 a PreparedStatement,所以它会为您处理。如果您想彻底检查您的输入,您应该出于商业原因这样做,而将其余部分留给 Exposed。

编辑:我相信Exposed的来源显示了这一点。Statement在这里,您需要委托来PreparedStatement防止 SQL 注入攻击。

于 2018-05-04T18:06:13.590 回答