MyBatis-Plus com.baomidou.mybatisplus.core.metadata.OrderItem#column 字段可能有sql注入风险

当前使用版本(必填,否则不予处理)

mybatis-plus-boot-starter: 3.5.2

该问题是如何引起的？(确定最新版也有问题再提!!!)

Page中的排序功能 com.baomidou.mybatisplus.core.metadata.OrderItem#column 字段有sql注入风险

重现步骤(如果有就写完整)

user,user1,user2三张表 都只有id,name 2个字段 分页查询user表 page.addOrder(new OrderItem("name ;drop table user1;select * from user2 order by id ",true)); 经测试可以删除掉user1表

报错信息

Comment From: huayanYu

需要自己处理，mybatis原生动态排序用$也有风险。

Comment From: shengming007

好的,目前已经使用替换所有空格的方式处理了