SQL注入与防止及MyBatis基本作用

当前第2页 返回上一页

#{}是占位符；使用“#{} ”只能在数据库管理系统中，将#{}中的参数带入

select * from user where username=#{sname}
--此种情况下，首先经过预编译形成如下SQL，再将参数带入，此时给参数值带加单引号
select * from user where username=？

此种情况下是可以防止SQL注入的

既然#{}能够防止SQL注入，"$ {}"不能，为什么mybaits还要提供这么一个符号？，当然有myBatis的理由，如果SQL语句中数据库对象需要传参进去，那只能使用** ${}**。如查询用户表（user） ，参数变量为tableName=‘user’，代码只能是

select * from ${tableName}
//转换为SQL语句为
select * from user

在myBatis中变量做为where子句中的参数，一律使用#{}，禁止使用“ ” ， 以 防 S Q L 注 入 ； S Q L 语 句 中 包 含 了 数 据 库 对 象 （ 如 表 、 视 图 等 ） 才 能 使 用 “ {} ”，以防SQL注入；SQL语句中包含了数据库对象（如表、视图等）才能使用“ ”，以防SQL注入；SQL语句中包含了数据库对象（如表、视图等）才能使用“{} ”，因为#{}，自动给变量加上引号，如上例：

select * from #{tableName}
//转换为SQL语句为
select * from 'user'

以上就是SQL注入与防止及myBaits基本作用的详细内容，更多关于SQL注入与防止及myBaits作用的资料请关注其它相关文章！

更多SQL内容来自木庄网络博客

标签：SQL

返回前面的内容

相关阅读 >>

sql中insert如何批量插入多条记录？

mysql数据表基本操作实例详解

sql server 2000 清理日志精品图文教程

sql为什么会出现无效的列索引

sql数据库怎么设置主键？

postgresql安装、配置及简单使用方法

shardingsphere解析sql示例详解

mybatis动态sql实现逻辑代码详解

oracle 10gplsql正规表达式（正则表达式）手册

详解python 数据库 (sqlite3)应用

更多相关阅读请进入《sql》频道 >>

书籍

数据库系统概念 第6版

￥41.1元   机械工业出版社

本书主要讲述了数据模型、基于对象的数据库和XML、数据存储和查询、事务管理、体系结构等方面的内容。

转载请注明出处：木庄网络博客 » SQL注入与防止及MyBatis基本作用