mybatis在传参时，为什么#能够有效的防止sql注入？

上划线 2015-07-10 09:05:35

...全文

8266 6 打赏收藏转发到动态举报

写回复

用AI写文章

6 条回复

切换为时间正序

请发表友善的回复…

发表回复

执笔记忆的空白 2015-07-17

打赏
举报

因为# 和拼参数的方式不同，这个是使用占位符，而且还能指定参数类型什么的。能有效防止sql注入

wangxuan_csdn 2015-07-16

打赏
举报

http://blog.csdn.net/kobi521/article/details/16941403 很清楚吧！

qqw6789567 2015-07-16

打赏
举报

具体防止什么的不明白，Ibatis写SQL不就这么写吗？你不按教程写编译万会错的，还是按人家规定的老老实实写吧

寻尘ki 2015-07-16

打赏
举报

在数据库操作中都会有sql语句，而这个sql语句是 String类型的，如果用 + 来拼接，表示的是直接操作这个String 类型的字符串，这是改变了sql的具体内容了如果用#{id}，表示的是操作字改变里面字段的参数值。用+拼接的： "select * from user where code="+code+ " and password="+password; 那么code = “1233 or code=456” password="2123": 结果： select * from user where code='123' or code='456' and password=‘2123’那么这个sql的规则就乱了用#操作的 select * from user where code=#{code} and password=#{password}; 那么code = “1233 or code=456” password="2123": 结果： select * from user where code=' 1233 or code=456 ' and password='2123'那么这个sql的规则还是老样子总节就是，一个是你自己写规则定义sql ，一个是定义好sql 你去填写值

猫神jdx 2015-07-15

打赏
举报

#是预编译，和普通的JDBC prepareStament一样，是无法进行注入

java代码民工 2015-07-10

打赏
举报

使用#{parameterName}引用参数的时候，Mybatis会把这个参数认为是一个字符串，例如传入参数是“xx”，那么在SQL（Select * from temp where name = #{employeeName})使用的时候就会转换为Select * from emp where name = 'xx'; 那么你想sql注入1=1之类的就起不来作用