【数据库框架】mybatis使用order by 动态参数及#{}和${}的区别

简单说

#{}是经过预编译的,是安全的

${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.

在mapper文件中如果使用

ORDER BY #{columnName}

会导致最后sql语句 参数 多加 引号,例如

select * from test order by 'update_time';

要这样使用

ORDER BY ${columnName}

但是注意这会导致潜在的SQL注入攻击,因此你需要自行转义并检查

posted @ 2019-12-28 07:33  海底一小鱼  阅读(3099)  评论(0编辑  收藏  举报