防止SQL注入
1 用正则表达式检验非法参数。
例如剔除一些 or 1=1 ,delete, update等之类的字符。
2 使用结构化化查询。PrepareStatements可以防止SQL注入。
3 MyBatis中使用#{}。
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,所以#{}可以防止SQL注入。
${}将传入的数据直接显示生成在SQL中,不能防止SQL注入。
防止SQL注入
1 用正则表达式检验非法参数。
例如剔除一些 or 1=1 ,delete, update等之类的字符。
2 使用结构化化查询。PrepareStatements可以防止SQL注入。
3 MyBatis中使用#{}。
#{}将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号,所以#{}可以防止SQL注入。
${}将传入的数据直接显示生成在SQL中,不能防止SQL注入。