什么是sql注入?
sql注入就是恶意攻击者把sql命令通过表单提交或地址栏输入页面请求插入到我们后台的sql语句中,最终达到欺骗服务器,执行恶意sql语句,达成攻击者的目的。
为什么会产生这个漏洞?
其实这是由于不好的编程习惯,未对用户输入进行验证或者转义而造成的。
如何防范?
防范很简单,既然最终是为了执行sql语句实现的注入攻击,我们只要对传入的sql数据进行转义就行了,比如用"?"占位符来对数据进行转义。
ps:mybatis可以用#{参数}来进行转义。