@qq135449773 #9

这篇后记的语气也真傲慢，或者说双标。

引用其原文：

Mybatis 的${}问题（他们好爱拿这个来举例子）。"外部数据传入 Mybatis ${} 可以造成 SQL 注入" - 这是一个已知的问题(漏洞)。一个应用因为外部不可控参数传入${}并导致 SQL 注入，我们不会去找 Mybatis 给他们提报漏洞（因为对于官方来说，这是一个已知的问题(漏洞)，官方给了足够的说明、警告、风险提醒、适用场景以及替代方案），我们会直接找这个应用去提报漏洞

但是对于 MybatisPlus 来说，几乎没有人知道在使用这个框架的时候要怎么避免 SQL 注入（要不是看了源码，我也不会知道他们什么都不处理就直接做字段拼接），两者根本没有可比性

然而， 至少今天，不需要查看 MP 的源码，MP 的官方文档： https://baomidou.com/reference/about-cve/

已经强调：

该“漏洞”也是前端端传入 SQL 片段 导致 SQL 注入攻击。框架 QueryWrapper UpdateWrapper 字段部分是允许子查询的因此不能人为允许前端传入 SQL 片段。

如果使用者有这种需求，可以使用 SqlInjectionUtils.check(内容) 或 xxWrapper.checkSqlInjection() 方法来检查，如果检查通过，则不会抛出异常。

框架也提供了非常严格的条件构造器 LambdaQueryWrapper LambdaUpdateWrapper 推荐使用。