一、SQL 注入的问题
这个可以说是最经典的一个问题,实际上问的就是 #{} 和 ${} 的区别
#{}是预编译处理,像传进来的数据会加个" "(#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号),${}就是字符串替换。直接替换掉占位符。$方式一般用于传入数据库对象,例如传入表名.
使用${}的话会导致sql注入。什么是SQL注入呢?比如 select * from user where id = ${value}
value应该是一个数值吧。然后如果对方传过来的是 001 and name = tom。这样不就相当于多加了一个条件嘛?把SQL语句直接写进来了。如果是攻击性的语句呢?001;drop table user,直接把表给删了
所以为了防止SQL注入,能用#{}的不要去用 ${}
如果非要用${}的话,那要注意防止SQL注入问题,可以手动判定传入的变量,进行过滤,一般SQL注入会输入很长的一条SQL语句
二、特殊符号如何使用
我们知道,在 SQL 中会出现大于号、小于号的使用,好比要查看年龄大于 10 岁的学生,这里我们就需要使用大小于号了,但是,我们在 xml 文件中写这个是错误的,需要做转换,不了会报错
以下是一些常用的符号转换
这样我们写在 xml 文件中的 SQL 就变成了:SELECT * FROM t_student WHERE age $gt; 10
到时候这个 $gt; 会自动转换成 > 符。
三、待更新,欢迎朋友们留言~我及时更新上去
到这里为止,我们的 整个MyBatis 就讲完了,东西有点多,大家好好消化一下。
大家可以自己好好查查看,有不懂的可以联系我 QQ:2100363119
欢迎大家访问我的网站:https://www.lemon1234.com
可以的话关注一下我的公众号,就在我网站,每天都有更新~~~,无限资源畅游 Java,感谢~
