mybatis

1 # 与 $ 的区别
  mybatis中使用ParameterType向sql语句传参,在sql语句中引用这些参数的时候,有两种方式:#parameterName, $parameterName。

  两者的区别:使用#parameterName方式引用参数的时候,Mybatis会把传入的参数当成是一个字符串,自动添加双引号。$parameterName引用参数时,不做任何处理,直接将值拼接在sql语句中。

  #是一个占位符,$是拼接符。

2 如何防止sql注入
  使用 # 能够防止sql注入,$不能避免注入攻击。

  #的方式引用参数,mybatis会先对sql语句进行预编译,然后再引用值,能够有效防止sql注入,提高安全性。$的方式引用参数,sql语句不进行预编译。
————————————————
版权声明:本文为CSDN博主「西方契约」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/boss_way/article/details/104653301

posted @ 2021-11-29 15:15  抽象Java  阅读(24)  评论(0编辑  收藏  举报