- 博客(1)
- 收藏
- 关注
RSS订阅原创 Mybatis #和$的区别
#会进行预编译,其实现是通过JDBC的PreparedStatement类,mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题,在mybatis中,”${xxx}”这样格式的参数会直接参与sql编译,从而不能避免注入攻击。但
2017-04-18 15:19:45
252
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人