#{}为预编译形式
即肯定在参数位置,是参数位置的字符串,你传输什么东西要么直接是转义字符,要么就是一个普通的字符串参数,不容易依赖注入,我认为相当于JDBC中的PreparedStatement,sql语句会提前编译,参数位置才需要占位符。
${}为普通的字符串拼接sql
可以拼接任意位置的sql语句,相当于Statement ,非常同意被sql注入攻击。比如本意为
select username,passward from user where username = ‘self’ 注入后:select username,passward from user where username = ‘self’ or 1=1
上述为简单的查询全部注入,若直接;后delete所有,就很严重了,所以万不得已要用字符串拼接这种的,一定要对字符串进行限定,前后端都加上防sql注入方法。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
