huangmingyang1的博客

原创 如何防止SQL注入

1、编写sql语句时，能使用#{}，绝不使用￥{} 因为#{}会将传入参数默认添加""，例如：select * from user where name= #{name} and pwd=#{pwd},转化为sql语句，select * from user where name="name"and pwd ="pwd"；而${}传入参数时直接替换，例如：select * from user where name= #{name} and pwd=#{pwd},，转化为sql语句，sele