1、使用预处理 PreparedStatement
mybatis防止sql注入:
# 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。
$ 将传入的数据直接将参数拼接在sql中。
#与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理。
2、使用正则表达式过滤掉字符中的特殊字符
即对你参数进行合理教研,避免sql拼接恶意脚本。
mybatis防止sql注入:
# 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。
$ 将传入的数据直接将参数拼接在sql中。
#与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理。
即对你参数进行合理教研,避免sql拼接恶意脚本。