mybatis 防止sql注入的原理
2016-03-24 13:41
239 查看
sql语句的生成有两种方式,一种是手动拼接sql字符串,另一种是使用带占位符的sql预编译,然后填入参数。
mybatis使用的就是预编译的方式,mybatis 在显示sql语句的时候,都会显示出带?的sql语句, 说明mybatis使用了数据库的预编译功能,sql注入只对编译前的sql起任凭,对编译的sql语句起不了作用,所以就可以避免sql注入的问题。
mybatis 使用jdbc的 preparestatement功能来使用预编译功能,这样既提高了效率,又安全。
,mybatis在 sqlmap里面写sql语句的时候,显示参数的时候可以使用#号,也可以使用$, 在使用的时候我们尽量要使用#, 因为#才能起用预编译功能,使用$的时候是直接以字符串方式拼在sql里面,而不是以占位符的方式存在。 一般只有在动态的表名或者列名才使用$输出参数,比如每天使用一张新表插入统计数据,这样的表名带有日期信息的,就要动态生成了。
mybatis使用的就是预编译的方式,mybatis 在显示sql语句的时候,都会显示出带?的sql语句, 说明mybatis使用了数据库的预编译功能,sql注入只对编译前的sql起任凭,对编译的sql语句起不了作用,所以就可以避免sql注入的问题。
mybatis 使用jdbc的 preparestatement功能来使用预编译功能,这样既提高了效率,又安全。
,mybatis在 sqlmap里面写sql语句的时候,显示参数的时候可以使用#号,也可以使用$, 在使用的时候我们尽量要使用#, 因为#才能起用预编译功能,使用$的时候是直接以字符串方式拼在sql里面,而不是以占位符的方式存在。 一般只有在动态的表名或者列名才使用$输出参数,比如每天使用一张新表插入统计数据,这样的表名带有日期信息的,就要动态生成了。
相关文章推荐
- mybatis 找不到sql语句
- mysql schedule job
- 加载com.mysql.jdbc.Driver失败 jdbc.properties连接信息多了个空格
- mysql 系列
- 替换一个数据库中的关键字
- MySQL增删改查
- MyBatis的动态SQL操作--插入
- VC访问数据库学习总结
- mysql某些值统计
- Hadoop Hive基础sql语法
- 数据库锁表查询及解除方法
- db2数据库监控脚本
- Hive命令行经常使用操作(数据库操作,表操作)
- sqlserver跨服务器数据库sql语句
- sqlite variable-length integers 实现方式
- oracle 修改表空间文件路径方法
- oracle操作
- binlog怎样参与mysql recover的
- MySQL 5.7 root登录问题
- mysql无法创建外键的原因