Struts2 的多选项使用 List 接受 避免注入漏洞

后台管理中使用的多选删除，

 

本来使用的是字符串变量 MessID 来接受页面构建的 以 ,分割的字符串，直接传递到 dao 层 。

 

页面代码：循环的

<input name="MessID" type="checkbox" value="${vo.id}" /> 

<input name="MessID" type="checkbox" value="${vo.id}" /> 

<input name="MessID" type="checkbox" value="${vo.id}" /> 

<input name="MessID" type="checkbox" value="${vo.id}" />

 

 

被爆出严重的安全漏洞

 

于是打回重新修改。

 

建议直接使用 List<Long> MessID ；接受 ，这样不使用字符串，可以避免构造SQL造成安全漏洞。

 

在Action层，可以使用Spring 的字符串工具 把List解析成以 , 分割的字符串。

 

String ids = StringUtils.arrayToDelimitedString(messItem_id.toArray(), ",");

messService.deleteMessItem(ids);

 

这样 ，避免了 SQL 注入 。