目录
- mybatis #和$的区别
- sql注入
mybatis #和$的区别
#{ } 替换成?
${ } 替换成具体的字符串
sql注入:
假如,我们的参数 tableName 为 user; delete user; --,那么 SQL 动态解析阶段之后,预编译之前的 sql
将变为: select * from user; delete user; – where name = ?;
– 之后的语句将作为注释,不起作用,因此本来的一条查询语句偷偷的包含了一个删除表数据的 SQL。