Mybatis 防止SQL注入

Java 新民 1492℃ 已收录 0评论
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以SQL注入;
like查询不小心会有漏动,正确写法如下:
Mysql: select * from t_user where name like concat(‘%’, #{name}, ‘%’)      
Oracle: select * from t_user where name like ‘%’ || #{name} || ‘%’      
SQLServer: select * from t_user where name like ‘%’ + #{name} + ‘%’
本站文章如未注明,均为原创丨本网站采用BY-NC-SA协议进行授权,转载请注明转自:https://www.snowruin.com/?p=1614
喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情 代码 贴图 加粗 链接 私信 删除线 签到

Hi,请填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址