MyBatis防止SQL注入

1.#与$区别
#{} 预编译(不可注入)
${} SQL拼接(可注入)
2.避免使用${}
如果一定要使用like, 可用concat('%', #{}, '%')替代
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • MyBatis 防止sql注入攻击
    Sql注入攻击 SQL注入攻击属于[数据库安全]攻击手段之一,可以通过[数据库安全]防护技术实现有效防护,数据库安...
    cjp1016阅读 10,492评论 0 5
  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,363评论 19 139
  • Android - 收藏集
    Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 175,273评论 25 709
  • Nobody
    古道旧 瘦马远 你也曾是我 想要相伴一生的候选 对如今而言 曾经和未来都那么远 在我心里 永远唤你 沙扬娜拉
    3500g阅读 2,600评论 0 0
  • Java代码优化
    优化实践 1.try{}catch(){}使用 1)查询中不要使用try{}catch(){}语句 2)循环中不要...
    沉思的老猫阅读 4,565评论 0 0