是的,它可以。Criteria API以及HQL或JPQL中的查询参数都会转义参数,并且不会执行恶意SQL。只有在将参数简单连接到查询中时才会暴露漏洞。然后,任何恶意SQL都将成为您查询的一部分。编辑:OWASP提供了一个 SQL注入预防清单。使用标准查询相当于防御选项1:使用预处理语句。