求诸位赐个简历项目

学会使用 https://github.com/

学 springboot 吧，简单易上手

这是我大学时期写的一个 SSM 聊天室，可以看看： https://github.com/MccreeFei/EasyChat

写个进销存软件就差不多了

“能力严重太足” 我想是打错了，但还是笑喷了

@no1xsyzy 本来没注意的，被你一说也笑喷了

@no1xsyzy 哈哈 我寻思还是稍稍膨胀一下下吧

@mccreefei 不是我杠精啊，看了一眼您的项目，用户登陆管理模块有安全问题，比如
User queryUser(@Param("name") String name,@Param("password") String password);
public String toString() {
return "User{" +
"id=" + id +
", name='" + name + '\'' +
", password='" + password + '\'' +
", loginDate=" + loginDate +
", logoutDate=" + logoutDate +
'}';
}

接 8 楼，不做过滤直接拼接，太容易被注入了，写着玩还行吧

@wangkai0351
@azcvcza
我寻思那不是拼了一个 toString 吗？而且看样子还是 idea 生成的，有什么问题吗？

为什么查询用户会把密码返回去，没想过安全问题吗

@xlui 同意你的观点
@wangkai0351 queryUser 明显是 dao 层啊，有什么安全问题？ User 的 toString 方法有什么安全问题？不要告诉我是因为密码没有加密。
@azcvcza 哪里看出容易注入了?
@wc951 domain 的 toString 方法这样写没有问题的啊

@xaplux 敏感信息不应该写在 tostring 里，如果有日志切面调用了返回值的 tostring 方法就啥都暴露了

@xaplux 我不甚懂 java，我认为，只要在用户输入缓冲区到数据库接口这条路上没有做防注入过滤，不都是脆弱的吗？

@wangkai0351 不....那段代码是打印用户信息，不是验证登陆。可以说有隐私问题但不是执行 sql 里直接使用用户输入，不会被注入

@Allianzcortex 你是说“ User queryUser(@Param("name") String name,@Param("password") String password);
”是打印用户信息？

@wangkai0351 请教下那段代码是在？ User queryUser 出现在 https://github.com/MccreeFei/EasyChat/blob/25f9fd3f9f8d74572d3d750cea680b3419a679a3/src/main/java/cn/mccreefei/dao/UserDAO.java#L16， 而可能存在 SQL 诸如风险的代码则是在 https://github.com/MccreeFei/EasyChat/blob/25f9fd3f9f8d74572d3d750cea680b3419a679a3/src/main/java/cn/mccreefei/model/User.java#L57，二者结合不起来呀

@wangkai0351 #16 你看到的这个文件是个抽象类，你看到的 return ……是 public String toString()这个方法里的，而不是你所认为的 User queryUser()方法，你看错了。

@Allianzcortex
我不甚懂 java，我认为，User queryUser 和这条查询语句关联 https://github.com/MccreeFei/EasyChat/blob/master/src/main/resources/map/userMapper.xml#L7
不知道是否正确。

@sinv 我清楚，我在 8 楼罗列的是两个 point，指的是这两个点分别有疑问。