MyBatis防止SQL注入
2018-01-04 本文已影响0人
jsjack_wang
1.#与$区别
#{} 预编译(不可注入)
${} SQL拼接(可注入)
2.避免使用${}
如果一定要使用like, 可用concat('%', #{}, '%')替代猜你喜欢
- 01-21热闹不等于吵闹
- 06-08论不积跬步无以至千里
- 07-20中国古典诗词离当代人有多远
- 09-02纪念抗战胜利70周年:回望历史勿忘国耻
- 01-20电影制片人是做什么的
- 01-10幽灵恐怖事件
#{} 预编译(不可注入)
${} SQL拼接(可注入)
如果一定要使用like, 可用concat('%', #{}, '%')替代