Mabatis中模糊查询防止sql注入的方法教程
程序员文章站
2022-03-23 19:36:26
mabatis中模糊查询防止sql注入
#{xxx},使用的是preparedstatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以sql注入;
like查询不小心会有...
mabatis中模糊查询防止sql注入
#{xxx},使用的是preparedstatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以sql注入;
like查询不小心会有,正确写法如下:
mysql:
select * from user where name like concat('%', #{name}, '%')
select * from user where name like '%' || #{name} || '%'
sqlserver:
select * from user where name like '%' + #{name} + '%' 上一篇: 凯立德车联网战略落地,获多方认可
下一篇: 【asp.net】asp分页