关于mybatis中#和$的区别

于 2017-05-11 10:13:56 发布
阅读量674 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qinchuan_123456/article/details/71601134
本文探讨了MyBatis框架中动态SQL的使用方法及其安全性问题。通过对比${}

mybatis中动态添加

sql:select * from user t1

<where>

<if test="id != null and id != ''">
    and t1.ID =#{id}
   </if>意思是如果id不为空并且不等于空字符串,将里面的内容拼到前面的sql中,相当于java代码:

if(id!=null&id!=""){

     sql. append(t1.getId()="+id+")

}

如果使用#{id},他对传过来的参数提前给了个 占位符" ",这样可以防止对sql的攻击

再看如果

<if test="id != null and id != ''">
    and t1.ID =${id}它就相当于

if(id!=null&id!=""){

     sql. append(t1.getId()=id)

}

这样你的id就可以随便写:比如 id;insert into user valuse(?,...),拼接后的语句:select * from user t1 where t1.id=id;insert into user valuse(?,...);

这样你就可以越过系统检验,直接添加用户,并且登陆后随便操作.造成很大的不安全,所以经常使用#。

$可以传一些integer,double类型,比如价格,年龄等具体数据

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值