81,092
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
Escape_X 2016-11-17
- 打赏
- 举报
不就简单的插入一天数据吗,后面的防止注入
浮云若水 2016-11-15
- 打赏
- 举报
给你举个例子吧
String sql1="select name,password from user where id="+dto.getId();
String sql2="select name,password from user where id=:id";
sql1中如果传入的id,被人截获,把id原本的id=123 改成修改成 id =123 or 1=1;这样sql1 和sql2的效果就完全不一样了
sql1 会把字符串直接拼接字后面,而sql2 会把传入的id 仅仅当一个字符串参数传入
最终结果是sql :select name,password from user where id=123 or 1=1
sql2:String sql2="select name,password from user where id=‘123 or 1=1’;
这样是不是完全两个不同的sql 这样你估计好理解点
肃穆丶 2016-11-15
- 打赏
- 举报
懂了
nikyotensai 2016-11-14
- 打赏
- 举报
穿进去的参数都在model里 只用:就能渠道么?不适用model.get方法取么?[/quote]
sql.setParas(model)不就是塞值给参数的吗
halouOMGG 2016-11-14
- 打赏
- 举报
穿进去的参数都在model里 只用:就能渠道么?不适用model.get方法取么?
nikyotensai 2016-11-14
- 打赏
- 举报
这是jpa吧!简单说就是你传进去的参数
halouOMGG 2016-11-14
- 打赏
- 举报
能说的详细点么~不是很懂
IT_Xjiaxin 2016-11-14
- 打赏
- 举报
这是防止SQL注入,也是参数
眉宇下的小格调 2016-11-14
- 打赏
- 举报
定义的参数名,比占位符方便阅读
halouOMGG 2016-11-14
- 打赏
- 举报
穿进去的参数都在model里 只用:就能渠道么?不适用model.get方法取么?[/quote]
sql.setParas(model)不就是塞值给参数的吗[/quote]
就是说 :就能代替model.get方法 取到值 是这样么?
小七和十一的爸爸 2016-11-14
- 打赏
- 举报
values();//里面 的都是参数
