为了防止SQL注入的风险,我想创建一个API,该API只接受编译时字符串字面量作为输入,例如
"SELECT * FROM MYTABLE;"
,"WHERE price > 10"
等。该函数可以进行所需的字符串拼接,生成一个String
类型的SQL语句并执行。这将是执行SQL的唯一方式,因此可以确保SQL语句仅由开发人员定义的SQL片段创建,并且任何不受信任的用户输入必须映射到字符串字面量。这样可以消除用户输入最终进入SQL语句的任何可能性。这种做法可行吗?