mybatis在传参时,为什么#能够有效的防止sql注入

 我来答
就烦条0o
2016-08-17 · 知道合伙人软件行家
就烦条0o
知道合伙人软件行家
采纳数:33315 获赞数:46492
从事多年系统运维,喜欢编写各种小程序和脚本。

向TA提问 私信TA
展开全部
在数据库操作中都会有sql语句,而这个sql语句是 String类型的,如果用 + 来拼接,表示的是直接操作这个String 类型的字符串,这是改变了sql的具体内容了
如果用#{id},表示的是操作字改变里面字段的参数值。

用+拼接的: "select * from user where code="+code+ " and password="+password;
那么code = “1233 or code=456” password="2123":
结果: select * from user where code='123' or code='456' and password=‘2123’那么这个sql的规则就乱了
用#操作的 select * from user where code=#{code} and password=#{password};
那么code = “1233 or code=456” password="2123":
结果: select * from user where code=' 1233 or code=456 ' and password='2123'那么这个sql的规则还是老样子
总节就是,一个是你自己写规则定义sql ,一个是定义好sql 你去填写值
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式