mybatis #{}与${}的区别与sql注入演示
mybatis #{}与${}的区别
使用#会对sql进行预编译,sql中参数将使用?占位。参数不参与sql编译,所以无法改变sql执行意图。
select * from user where id = ? paremter=1
使用$参数可以直接参与sql编译,为sql注入提供可趁之机,即
select * from user where id = 1
使用sqlmap进行sql注入
sqlm...
原创
2019-12-30 20:46:43 ·
362 阅读 ·
0 评论