求诸位赐个简历项目

@Allianzcortex #17 什么鬼？他把两个文件里的函数捏一起提的问题？

仿佛要歪楼的样子。

@sinv
@wangkai0351

似乎问题不是在那两个代码，而是在 https://github.com/MccreeFei/EasyChat/blob/master/src/main/resources/map/userMapper.xml#L7 文件里的

```
<mapper namespace="cn.mccreefei.dao.UserDAO">

<select id="queryUser" resultType="cn.mccreefei.model.User">
SELECT id, name, password FROM user
WHERE name = #{name} AND password = #{password}
</select>
```

Spring DAO 可以直接通过 sql 名字就生成查询代码，但对 ibatis 和 XML 不了解...

@wangkai0351 #19 抱歉前面理解错误，现在好像懂你的意思了，其实在这一层，password 只作为普通数据来对待，而安全合规操作并不是在这一层处理或采用你说的过滤 password 来实现，比如数据库中不明文存储用户密码等。

楼歪得楼主掩面哭泣

@wangkai0351 #14 防注入在 Mybatis 的 XML 里做了

楼歪得楼主掩面哭泣=1

@wangkai0351 防注入问题，26 楼已给出说明，
@wc951 我对攻击这一块不太熟，我认为如果日志被攻击暴露了，岂不是说明服务器被攻击了

@xaplux 其实不仅仅是攻击的问题，用户敏感数据也不应该被开发人员或运维人员看到

@wc951 是的，正常情况下密码都是要做加密处理的