简明的解释:
#{}是预编译处理,$ {}是字符串替换(当做占位符来用)。
mybatis在处理#{}时,会将sql中的#{}替换为?号,调用PreparedStatement的
set方法来赋值;
mybatis在处理 $ {} 时,就是把 ${} 替换成变量的值。
使用 #{} 可以有效的防止SQL注入,提高系统安全性。
在某些特殊场合下只能用${},不能用#{}。例如:在使用排序时ORDER BY ${id},
如果使用#{id},则会被解析成ORDER BY “id”,这显然是一种错误的写法。
**到此结束即可**
解决SQL注入的办法就是预编译处理
使用 #{} 进行预编译处理,可以有效的防止SQL注入,提高系统安全性。
预编译的机制。预编译是提前对SQL语句进行预编译,而其后注入的参数将
不会再进行SQL编译。我们知道,SQL注入是发生在编译的过程中,因为注入
sql语句常用的字符如:单引号(')和井号(#)进行恶意地闭合和注释,改变了
我们的原有句子,最后被编译执行了恶意操作。而预编译机制则可以很好的
防止SQL注入。
关于sql注释的简单解释
假设下方语句是我们自己写的做登录用户的java后台部分语句,
我们想的是只有账号密码正确才可以登录
String sql ="select * from table where id = '"+ admin +
"'and password ='"+password+"'"; //拼接参数
ResultSet rs = (ResultSet) stmt.executeQuery(sql);//执行sql语句
但如果提交表单的数据是 admin的是 ' or 1 = 1 # 然后password
随便填吧 比如 james
那么sql句子变成:
select
*
from
table
where id = ' ' or 1 = 1 # 'and password =' james ';
注意这时句子中的 # 井号会把后面的 ’ and password =’ hj '; 注释掉而无法判断,因为 or 1 = 1 这一句会告诉数据库是正确的,然后我萌就能基于这个原理实现偷偷给自己的数据库搞事情了。
!仅供学习
现在的大型网站就别想了,学校的官网不知道有没有预处理和防范。(我什么也没说,什么也没说)
再次声明:仅供学习!!!!