mybatis避免sql注入ITeye - 超凡娱乐

mybatis避免sql注入ITeye

2019-01-10 17:13:09 | 作者: 静曼 | 标签: 成果,里边,假定 | 浏览: 1852

select * from user where user_name=#user_name#;

select * from user where user_name=$user_name$;

 

假定user_id传入1 or 1=1,那么上述2个SQL解析成果如下:

select * from user where user_name=" 1 or 1=1 ";

select * from user where user_name=1 or 1=1;

 

别离回来的成果是:

0;

一切;

 

说白了,##里边的值作为一个全体的字符串,而$$里边却和前面的SQL连在一起编译了。

 

 

 

 

 

 

 

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表超凡娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章

阅读排行

  • 1
  • 2

    Linux翻开端口办法ITeye

    端口,翻开,保存
  • 3
  • 4

    Oracle的根本数据字典ITeye

    一切,用户,信息
  • 5
  • 6
  • 7
  • 8

    Oracle排序(转)ITeye

    排序,空间,暂时
  • 9

    数据导入导出ITeye

    数据,导入,导出
  • 10

    sysbench test oracleITeye

    测验,数据,生成