zoukankan      html  css  js  c++  java
  • MyBatis中 #{}与${}的区别

    先说结论:我们常用的是 #{},因为它可以防止SQL注入

    1、#{} 是预编译处理,它会先将SQL中的#{}替换为?号编译,然后再取值

    原始SQL:select * from user where user_name = #{name} 
    预编译后:select * from user where user_name =
    然后调用set方法来赋值‘张三’

    2、${} 会先去变量值,再去编译SQL语句

    原始SQL:  select * from user where user_name = #{name}
    编译后SQL:select * from user where user_name = ‘张三’
    这样很容易会遭到恶意SQL的拼接来非法操作数据

    3、#{} 能防止SQL注入的原因如下

    因为采用预编译机制,预编译完成后,SQL的结构已经固定,
    这时候,即使用户输入非法的参数,也不会对SQL语句的整体结构造成影响,从而避免了SQL注入的危险
    [ 版权声明 ]: 本文所有权归作者本人,文中参考的部分已经做了标记! 商业用途转载请联系作者授权! 非商业用途转载,请标明本文链接及出处!
  • 相关阅读:
    UltraEdit 注册机使用说明
    sybase 收集常用sql语句
    过渡模式
    JavaScript 钩子
    自定义过渡的类名
    CSS过渡、CSS动画
    单元素/组件的过渡
    通过 v-once 创建低开销的静态组件
    内联模板、X-Template
    程序化的时间侦听器
  • 原文地址:https://www.cnblogs.com/gslgb/p/15027791.html
Copyright © 2011-2022 走看看