Cassandra 访问器和 "CQL" 注入

Cassandra Accessor and "CQL" injection

select 由 java 驱动程序访问器发出的查询是否容易受到注入攻击?

有些喜欢

@Query("SELECT * FROM table WHERE id = :id")
Result<Entity> byId(@Param("id") String id);

不,此语法不执行字符串替换。它实际上将值绑定到参数槽中。这意味着恶意请求将被简单地视为绑定语句中的 id。