课程名称:Spring Boot+Vue3前后端分离,实战wiki知识库系统
课程章节:10-12 思考:高频面试题
主讲老师:甲蛙
课程内容:
1. Mybatis中$和#有什么区别?
-
.#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;可以预防SQL注入
-
如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id,则解析成的sql为where username=“id”.
-
2、$将传入的数据直接显示生成在sql中;不进行预编译,无法预防SQL注入,需要在代码中做处理
-
如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;如果是传入 or 1=1;这样子筛选条件失效了;
2. Mybatis怎么防止SQL注入?
-
SQL注入漏洞,根本上讲,是由于错把外部输入当作SQL代码去执行
-
在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
课程收获
在编写这些问题也在不断的对本章的学习内容回顾,让知识点印象更深刻,日常还是要多多练习,加深印象。
点击查看更多内容
为 TA 点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦