mybatis中的#和$的區別
將傳入的數據都當成一個字符串,會對自動傳入的數據加一個雙引號。如:order by #user_id#,若是傳入的值是111,那麼解析成sql時的值爲order by "111", 若是傳入的值是id,則解析成的sql爲order by "id".
- $將傳入的數據直接顯示生成在sql中。如:order by \(user_id\),若是傳入的值是111,那麼解析成sql時的值爲order by user_id, 若是傳入的值是id,則解析成的sql爲order by id.
方式可以很大程度防止sql注入。
4.$方式沒法防止Sql注入。
5.\(方式通常用於傳入數據庫對象,例如傳入表名. 6.通常能用#的就別用\).sql
MyBatis排序時使用order by 動態參數時須要注意,用$而不是#數據庫
字符串替換
默認狀況下,使用#{}格式的語法會致使MyBatis建立預處理語句屬性並以它爲背景設置安全的值(好比?)。這樣作很安全,很迅速也是首選作法,有時你只是想直接在SQL語句中插入一個不改變的字符串。好比,像ORDER BY,你能夠這樣來使用:
ORDER BY ${columnName}
這裏MyBatis不會修改或轉義字符串。
重要:接受從用戶輸出的內容並提供給語句中不變的字符串,這樣作是不安全的。這會致使潛在的SQL注入攻擊,所以你不該該容許用戶輸入這些字段,或者一般自行轉義並檢查。安全
轉自:http://weijun726.blog.163.com/blog/static/87342299201362652950398/spa
相關文章
- 1. mybatis中的#和$的區別
- 2. mybatis中的#{}和${}的區別
- 3. Mybatis中的$和#的區別
- 4. MyBatis 中的#和$的區別
- 5. Mybatis中的 ${ } 和 #{ }的區別
- 6. Mybatis中的#和$的區別
- 7. MyBatis中#{ }和${ }的區別
- 8. mybatis中#{}和${}的區別
- 9. mybatis中#和$的區別
- 10. (轉)mybatis中#和$的區別
- 更多相關文章...
- • Spring中Bean的作用域 - Spring教程
- • 現實生活中的 XML - XML 教程
- • C# 中 foreach 遍歷的用法
- • 適用於PHP初學者的學習線路和建議
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章