Mybatis 最近知识总结(1)
16lz
2021-04-12
-- 你不得不承认 在项目中 如果不遇见问题 你是不会去了解#{} 和${} 的区别的-- 我见过好多项目中用的是${} 但是不提倡-- (1)#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。-- 如:order by #job#,如果传入的值是programer,那么解析成sql时的值为order by "programer",如果传入的值是job,则解析成的sql为order by "job"。-- #{} 在预处理时,会把参数部分用一个占位符 ? 代替 变成如下的 sql 语句 order by ?-- (2) $将传入的数据直接显示生成在sql中。如:order by $user_id$,如果传入的值是programer,那么解析成sql时的值为order by programer, 如果传入的值是job,则解析成的sql为order by job。 -- ${} 只是简单的字符串替换,在动态解析阶段,该 sql 语句会被解析成 order by job-- (3) #方式在很大程度上能够防止sql注入。
-- (4) $方式无法防止sql注入。
-- (5) $方式一般用于传入数据库对象,例如传入表名 字段名等。
-- (6) 一般能用#的就别用$。 因为 ${} 会导致 sql 注入的问题。更多相关文章
- 【微信公众号】【深入解析】DRM和read-mostly locking
- MyBatis传入参数为list 数组 map
- 【MySql】sql_slave_skip_counter 参数的用法解析
- 第104天: Python 解析 XML
- Centos下内网DNS主从环境部署记录
- Python爬虫进阶必备 | RSA 加密案例解析汇总(一)
- PDMan 之数据库逆向解析
- 云数据库HBase企业级安全解析
- 如何在 Apache Hive 中解析 Json 数组