mybatise#{}如何防止sql注入

1、#{}是预编译处理是一个占位符,mybatis遇见#{}时,会将sql中的#{}替换为?号。

?
1
2
3
4
5
6
7
select * from  table where id=#{id}
 
当id我们传值为101时,
mybatise将预编译为
select * from  table where id=?
最终执行的sql为
select * from  table where id='101'

  

2、$ {}是字符串替换,,调用PreparedStatement的set方法来赋值;mybatis在处理时 ,就 是 把 {}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。

?
1
2
3
4
select * from table where id=${id}
当id传值为101时
mybatise将sql转换为
select * from table where id=101  

3、#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。

4、${}将传入的数据直接显示生成在sql中。

 

待续。。。

 

posted @   陈浩文  阅读(338)  评论(0编辑  收藏  举报
相关博文:
·  springBoot整合mybatise
·  springBoot中新建拦截器
·  mybatis #{} 和 ${} 的区别
·  如何防止SQL注入?
·  Mybatis 中#和$的区别
阅读排行:
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· 使用C#创建一个MCP客户端
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· ollama系列1:轻松3步本地部署deepseek,普通电脑可用
· 按钮权限的设计及实现
点击右上角即可分享
微信分享提示
SQL AI 助手