博客介绍了SQL参数占位符,一种用于构建预编译SQL语句,执行前对参数预处理,可防SQL注入,提供更好安全性和可靠性;另一种用于参数动态拼接,如列名、表名,但有潜在安全风险,易受SQL注入攻击。
#{}参数占位符:#{}被用于构建预编译的SQL语句中的占位符,可以防止SQL注入攻击。#{}在执行SQL之前会对参数进行预处理,自动进行参数的转义、类型处理等。#{}的使用能够提供更好的安全性和可靠性。
${}参数占位符:${}被用于将参数直接拼接到SQL语句中,不会进行预处理。${}主要用于参数的动态拼接,比如列名、表名等,但是需要注意潜在的安全风险,容易受到SQL注入攻击。
扫一扫
评论 1
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
