第十五章 sql中的安全问题

sql注入 :

第十五章 sql中的安全问题_第1张图片

逻辑注入 及 注释符 注入 示例

转自:https://www.cnblogs.com/mydesky2012/p/11663882.html

开始

1 # 与 $ 的区别

mybatis中使用ParameterType向sql语句传参,在sql语句中引用这些参数的时候,有两种方式:#parameterName, $parameterName。

两者的区别:使用#parameterName方式引用参数的时候,Mybatis会把传入的参数当成是一个字符串,自动添加双引号。$parameterName引用参数时,不做任何处理,直接将值拼接在sql语句中。

#是一个占位符,$是拼接符。

2 如何防止sql注入

使用 # 能够防止sql注入,$不能避免注入攻击。

#的方式引用参数,mybatis会先对sql语句进行预编译,然后再引用值,能够有效防止sql注入,提高安全性。$的方式引用参数,sql语句不进行预编译。

结束

转自:https://www.cnblogs.com/mydesky2012/p/11663882.html

预防注入 

第十五章 sql中的安全问题_第2张图片

 

第十五章 sql中的安全问题_第3张图片

第十五章 sql中的安全问题_第4张图片

 

你可能感兴趣的:(书籍学习:深入浅出MySQL,数据库开发优化与管理维护,一起学习Mysql)