1.模糊查询防止注入
错误写法:
username LIKE '${publicvo.search}%'
正确写法:
username like concat('%',#{publicVo.search},'%')
不能使用$号,会导入sql注入
注意:动态使用时,使用#号会有报错的问题
2.密码问题
所以涉及到密码,前后端对接需MD5加密传输,不能明文,不能会有密码方面的漏洞
错误写法:
username LIKE '${publicvo.search}%'
正确写法:
username like concat('%',#{publicVo.search},'%')
不能使用$号,会导入sql注入
注意:动态使用时,使用#号会有报错的问题
所以涉及到密码,前后端对接需MD5加密传输,不能明文,不能会有密码方面的漏洞