@cslive hmm 所以你同意， 如果官方在文档中强调一下用户需要对用作列名参数的值做检查（就像 mybatis 那样强调），那么便不存在问题吗？

@qq135449773 #9

这篇后记的语气也真傲慢，或者说双标。

引用其原文：

Mybatis 的${}问题（他们好爱拿这个来举例子）。"外部数据传入 Mybatis ${} 可以造成 SQL 注入" - 这是一个已知的问题(漏洞)。一个应用因为外部不可控参数传入${}并导致 SQL 注入，我们不会去找 Mybatis 给他们提报漏洞（因为对于官方来说，这是一个已知的问题(漏洞)，官方给了足够的说明、警告、风险提醒、适用场景以及替代方案），我们会直接找这个应用去提报漏洞

但是对于 MybatisPlus 来说，几乎没有人知道在使用这个框架的时候要怎么避免 SQL 注入（要不是看了源码，我也不会知道他们什么都不处理就直接做字段拼接），两者根本没有可比性

然而， 至少今天，不需要查看 MP 的源码，MP 的官方文档： https://baomidou.com/reference/about-cve/

已经强调：

该“漏洞”也是前端端传入 SQL 片段 导致 SQL 注入攻击。框架 QueryWrapper UpdateWrapper 字段部分是允许子查询的因此不能人为允许前端传入 SQL 片段。

如果使用者有这种需求，可以使用 SqlInjectionUtils.check(内容) 或 xxWrapper.checkSqlInjection() 方法来检查，如果检查通过，则不会抛出异常。

框架也提供了非常严格的条件构造器 LambdaQueryWrapper LambdaUpdateWrapper 推荐使用。

@leaflxh
@L0L
是的，我也同意这种写法不好。如果开发者这么写了，代码质量分析工具报问题，我没意见。但不应该视作对 mybatis-plus 这个库本身的 CVE issue 。如果视作，那么 mybatis 也应当适用此 CVE issue 。

@ZZ74
@henix 嗯，确实说少了。我是说那种需要双向 SSL 验证的 API 。

@gam2046 我刚试了下，onenote 登录错误 error code 0xE0001075 ，搜索解决方式然后验证发现我的 onedrive 被冻结了。。感觉它不欢迎我

@gam2046
@saranz
onenote 在国内不太好用吧，同步方面，有改善吗？ clash 开系统代理能解决吗

@565656 #4
我有一个朋友 QAQ

windterm +1

@puzzleperson 不是第三方是我自己开发但是没和项目锁在一起不算第一方的意思么 有啥思路不

题主现在有结论了不？可以 append 一下吗？

一个单击游戏,CR 点数和车库存还是联网的，不能用修改器直接改不然可能会封号，难顶。

@SenLief
@aulayli
@docx
@kirieievk
需要手机接收短信验证呀，电脑网页上注册新账号，我的手机号说不可以用。
@OWLS
可能是这个原因。。

@crab 2024 年做到的吗？咋实现的？

@HiterPang 啥意思？
@SenLief 一个手机号，一个谷歌账号，也对应唯一的谷歌邮箱，不能在这个谷歌账号下搞出第二个谷歌邮箱了。
@VIVIANSNOW
@x02 是最近有试过吗？能说下怎么操作的吗？

@blackcat888 谢谢，请问该如何设置呀？

@JohnSmith 谢谢 不背单词可以隐藏掉单词本身吗？我的意思是回忆的时候只有读音，除此之外啥都没有