前提:项目后端使用java语言
问题:前端传入特殊字符串为什么不能引起sql注入安全问题?
研究过程:
如果按照所有文章中说的这样:
String sql= "select * from user_table where username="+username+"and password="+password;
输入:"or 1=1--
则结果就会是:String sql= "select * from user_table where username=""or 1=1--and password="";
但是我输入后并不能破解,然后我向后端小伙伴要了sql查询的代码,如下伪代码:
<select id = "" resultType = "">
SELECT
<include * = ""/>
FROM user_table a
WHERE a.username = #{username}
</select>
现在细心的小伙伴应该能看出问题了,我们这个项目后端写的sql查询是用的mybatis,而不是定义的sql字符串,所以使用引号闭合sql语句的方法并不适用。
^o^又是机智的一天
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
