本文探讨了使用SQL更新语句时,预编译参数与直接插入变量的不同效果。通过两个例子,展示了在不同情况下,如何避免SQL注入风险,同时确保语句正确执行。强调了在实际应用中选择合适的方法来提高代码的安全性和效率。
status:1
ids:(1,2,3)
eg.1
UPDATE answer_student SET status=#{status} WHERE studentNumber in #{ids}
UPDATE answer_student SET status="1" WHERE studentNumber in "(1)";
会报错
eg.2
UPDATE answer_student SET status=#{status} WHERE studentNumber in ${ids}
UPDATE answer_student SET status="1" WHERE studentNumber in (1);
但有sql注入问题
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
