Mabatis中模糊查询防止sql注入的方法教程
程序员文章站
2022-06-24 19:49:19
mabatis中模糊查询防止sql注入
#{xxx},使用的是preparedstatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以sql注入;
like查询不小心会有...
mabatis中模糊查询防止sql注入
#{xxx},使用的是preparedstatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以sql注入;
like查询不小心会有,正确写法如下:
mysql:
select * from user where name like concat('%', #{name}, '%')
select * from user where name like '%' || #{name} || '%'
sqlserver:
select * from user where name like '%' + #{name} + '%' 上一篇: Sql Server中判断表、列不存在则创建的方法
下一篇: Android 占位式插件化开发