#{} 防止sql注入
${}不能防止sql注入
sql注入是比較常見的網路攻擊方式之一,它不是利用作業系統的bug來實現攻擊,而是針對程式設計師編寫時的疏忽,通過sql語句,實現無賬號登入,甚至篡改資料庫。
在下面的語句中,如果 name 的值為 zhangsan,則兩種方式無任何區別:
select * from user where name = #;
select * from user where name = $;
其解析之後的結果均為
select * from user where name = 『zhangsan』;
但是 #{} 和 ${} 在預編譯中的處理是不一樣的。
#{} 在預處理時,會把引數部分用乙個佔位符 ? 代替,變成如下的 sql 語句:
select * from user where name = ?;
而 ${} 則只是簡單的字串替換,在動態解析階段,該 sql 語句會被解析成
select * from user where name = 『zhangsan』;
以上,#{} 的引數替換是發生在 dbms 中,而 ${} 則發生在動態解析過程中。
myBatis中 和 區別
1.將傳入的資料都當成乙個字串,會對自動傳入的資料加乙個雙引號。如 order by user id 如果傳入的值是111,那麼解析成sql時的值為order by 111 如果傳入的值是id,則解析成的sql為order by id 2.將傳入的資料直接顯示生成在sql中。如 order by u...
mybatis 中 和 區別
在使用mybatis 框架時 在xml的配置檔案中,通常是使用 來獲取數值的 如 select from t user inf where id 這時 如果你傳入的值為zhangsan 則會編譯成為 select from t user inf where id zhangsan mybatis 會...
Mybatis 中 和 區別
號與 區別 號表示引數,代表乙個字串。如 select a,b,c from table1 where id value 傳入引數後如 value 1 則可生成 select a,b,c from table1 where id 1 select a,b,c from table1 where ci...