发布于2022-12-03 08:59 阅读(905) 评论(0) 点赞(10) 收藏(0)
在使用mybatis的时候我们会使用到#{}和${}这两个符号来为sql语句传参数,那么这两者有什么区别呢?
select * from user where name = #{userName};
设userName=yuze
看日志我们可以看到解析时将#{userName}替换成了 ?
select * from user where name = ?;
然后再把yuze放进去,外面加上单引号
select * from user where name = #{userName};
设userName=yuze
看日志可以发现就是直接把值拼接上去了
select * from user where name = yuze;
这极有可能发生sql注入,下面举了一个简单的sql注入案例
这是一条用户的账号、密码数据
当用户登录,我们验证账号密码是否正确时用这个sql:
username=yyy;password=123
select * from user where username=${username} and password=${password}
显然这条sql没问题可以查出来,但是如果有人不知道密码但是想登录账号怎么办
我们不需要填写正确的密码:
密码输入1 or 1=1,sql执行的其实是
select * from user where username='yyy' and password=1 or 1 =1
#{}的变量替换是在DBMS中、变量替换后,#{}对应的变量自动加上单引号
的 变 量 替 换 是 在 D B M S 外 、 变 量 替 换 后 , {}的变量替换是在DBMS外、变量替换后, 的变量替换是在DBMS外、变量替换后,{}对应的变量不会加上单引号
使用#{}可以有效的防止sql注入,提高系统的安全性
作者:飞人出击
链接:http://www.javaheidong.com/blog/article/582783/c638a215434ea11f3418/
来源:java黑洞网
任何形式的转载都请注明出处,如有侵权 一经发现 必将追究其法律责任
昵称:
评论内容:(最多支持255个字符)
---无人问津也好,技不如人也罢,你都要试着安静下来,去做自己该做的事,而不是让内心的烦躁、焦虑,坏掉你本来就不多的热情和定力
Copyright © 2018-2021 java黑洞网 All Rights Reserved 版权所有,并保留所有权利。京ICP备18063182号-2
投诉与举报,广告合作请联系vgs_info@163.com或QQ3083709327
免责声明:网站文章均由用户上传,仅供读者学习交流使用,禁止用做商业用途。若文章涉及色情,反动,侵权等违法信息,请向我们举报,一经核实我们会立即删除!