原sql语句:
delete from
ups_role_permission_dataparams
where role_id = #{roleId,jdbcType=INTEGER}
在这里用到了#{},使用#时:
1、用来传入参数,sql在解析的时候会加上" ",当成字符串来解析 ,如这里 role_id = "roleid";
2、#{}能够很大程度上防止sql注入;
延伸:
1、用${}传入数据直接显示在生成的sql中,如上面的语句,用role_id = ${roleId,jdbcType=INTEGER},那么sql在解析的时候值为role_id = roleid,执行时会报错;
2、${}方式无法防止sql注入;
3、$一般用入传入数据库对象,比如数据库表名;
4、能用#{}时尽量用#{};
注意:
mybaties排序时使用order by 动态参数时需要注意,使用${}而不用#{};
sql注入问题:
因为 ${} 会导致 sql 注入的问题。看下面的例子:
select * from ${tableName} where name = #{name}
在这个例子中,如果表名为
user; delete user; --
则动态解析之后 sql 如下:
select * from user; delete user; -- where name = ?;
--之后的语句被注释掉,而原本查询用户的语句变成了查询所有用户信息+删除用户表的语句,会对数据库造成重大损伤,极大可能导致服务器宕机。
但是表名用参数传递进来的时候,只能使用 ${} ,具体原因可以自己做个猜测,去验证。这也提醒我们在这种用法中要小心sql注入的问题。
原文地址:
https://blog.csdn.net/zouxucong/article/details/52837387
https://blog.csdn.net/lohannes/article/details/79031435
侵删。