MyBatis怎么防止SQL注入
发表时间:2024-07-28 14:45:48
来源:网友投稿
用#{参数}进行预编译就可以防止了,千万别用${}这种方式注入参数。
mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。其实Mybatis的sql是一个具有“输入+输出”功能,类似于函数的结构,如下:
select id,title,author,content
from blog where id=#{id}
这里parameterType标示了输入的参数类型,resultType标示了输出的参数类型。回应上文如果我们想防止sql注入,理所当然地要在输入参数上下功夫。上面代码中高亮部分即输入参数在sql中拼接的部分,传入参数后,打印出执行的sql语句,会看到sql是这样的:
select id,title,author,content from blog where id = ?
不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。
免责声明:本站发布的教育资讯(图片、视频和文字)以本站原创、转载和分享为主,文章观点不代表本网站立场。
如果本文侵犯了您的权益,请联系底部站长邮箱进行举报反馈,一经查实,我们将在第一时间处理,感谢您对本站的关注!
相关资讯
汽修专业新疆怎么找工作
2025-04-06
机械专业专长怎么写简历
2025-04-06
专科怎么报审计专业的
2025-04-06
专业学科导师类别怎么填
2025-04-06
查报考专业网站怎么查
2025-04-06
水电专业规划怎么写简历
2025-04-06
表演专业怎么留学的好呢
2025-04-06
专业防雷检测怎么收费的
2025-04-06
怎么查询同等学力专业
2025-04-06
高考技能专业怎么选择的
2025-04-06
钢筋套筒专业名称怎么写
2025-04-06
中专怎么填高考志愿专业
2025-04-06
中专统招怎么报志愿专业
2025-04-06
师范专业自我评价怎么写
2025-04-06
景观建筑换专业怎么换好
2025-04-06
建筑专业学生简历怎么写
2025-04-06
推荐资讯
空气净化器到底能否去除甲醇
2023-11-03 11:26:56
科目二考试难点
2024-07-21 21:54:00
相对论的通俗解释是什么
2024-07-30 16:29:26
移动通信应用专业怎样
2024-08-23 08:22:51
四川省巴中市恩阳区兴隆镇双石村离兴隆镇上有多远
2024-08-23 13:17:07
直男对化妆的理解是什么样的
2024-10-12 12:22:18
为什么有时下雨后会出现彩虹
2024-10-15 12:49:52
办理退休需要的手续资料是哪些
2024-10-16 17:21:25
2024最新中控个人工作总结
2024-11-15 10:38:27
质检是什么类专业的
2025-03-17 17:35:24
新励学网教育平台
海量全面 · 详细解读 · 快捷可靠
累积科普文章数:18,862,126篇
热门关注
首页
教育
考研
作文
公考
申论
留学
建造
会计
问答
冀ICP备2024091466号