虽然同章者多不胜数,但还是想写,并以其为警戒。
作为新人,我暂未写过一篇,想知其乐趣,心有意动,摁耐不住,有感而发,雷同请勿介怀
昨日,在添一界面,查询需添下拉多选时,传递至SQL语句:
日常传递参数都是用#{ },参数传递已分好数组,开始都是以
编译之后,得u.AREA_NO = ? ,传出参数以' '包括在内,数据得不出。
纠结于此,后得知时‘#’改‘$’。
编译之后,动态得到的数据加进SQL中,数据即得。
补:
#{}是预编译处理,${}是字符串替换。mybatis在处理${}时,就是把${}替换成变量的值。使用#{}可以有效的防止SQL注入,提高系统安全性。
SQL注入是发生在编译的过程中,因为恶意注入了某些特殊字符,最后被编译成了恶意的执行操作。而预编译机制则可以很好的防止SQL注入。