Sql 如何在使用iBatis的DB2查询中使用#而不是$_Sql_Db2_Sql Injection_Mybatis_Ibatis

Sql 如何在使用iBatis的DB2查询中使用#而不是$

sql db2

Sql 如何在使用iBatis的DB2查询中使用#而不是$,sql,db2,sql-injection,mybatis,ibatis,Sql,Db2,Sql Injection,Mybatis,Ibatis,我在项目中使用DB2和iBatis 有很多 FETCH FRIST $perPg$ ROWS ONLY 在DaoMap.xml文件中查询分页。但在查询注入的情况下似乎很危险。所以我想用#而不是$来更改它们，但我想不出来像CAST（#perPg#AS INTEGER）这样的函数在获取查询上不起作用。如何解决此问题？如果要转换为int（并确保到达的值为int），可以尝试以下方法： #perPg:BIGINT# 您是否尝试过#perPg##将变量包装为'，以便触发错误

我在项目中使用DB2和iBatis

有很多

FETCH FRIST $perPg$ ROWS ONLY

在DaoMap.xml文件中查询分页。但在查询注入的情况下似乎很危险。所以我想用#而不是$来更改它们，但我想不出来

像

CAST（#perPg#AS INTEGER）

这样的函数在获取查询上不起作用。如何解决此问题？

如果要转换为int（并确保到达的值为int），可以尝试以下方法：

#perPg:BIGINT#

您是否尝试过#perPg##将变量包装为'，以便触发错误