数据库
首页 > 数据库> > mybaties之防止sql注入

mybaties之防止sql注入

作者:互联网

  mybaties自定义sql参数引用有两种#{}和${}。

  ${}将变量原样输出不能防止sql注入。

  #{}采用PreparedStatement将sql进行了预编译可以防止sql注入。预编译的原理就是将传递进来的变量中的引号用反斜杠(\)转义。在变量外面加上了双引号。

  表个字段名当作变量的时候是不能加双引号的,所有只能使用${}方式,这个时候就需要自己对参数做一些特殊处理,比如:长度限制,字符限制等。

  

标签:mybaties,变量,双引号,防止,sql,注入
来源: https://www.cnblogs.com/yjwfcs/p/12058275.html