|
阅读:4963回复:0
数据查询(sqlmap)动态查询语句写法
1. 页面通过时间和输入框过滤数据
图片:1.png  2. 数据查询语句: 图片:2.png  代码如下: select id, staffid, name, text, timebegin, timeend, apply_state, runid, notes from demo_vacate <dynamic prepend="where"> <property prepend="and"> <![CDATA[ #if($P.timebegin and $P.timebegin!="") timebegin < :timebegin #end ]]> </property> <property prepend="and"> <![CDATA[ #if($P.notes and $P.notes!="") notes like concat('%',:notes,'%') #end ]]> </property> </dynamic> 注意:生成的查询语句中不能使用$P取值,否则会出现sql注入漏洞 |
|
