前几天使用# 对order by进行SQL动态注入,发现不生效。
网上查看解决方案。
#{}相当于jdbc中的preparedstatement
${}是输出变量的值
简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。
orderby是肯定只能用 {}了,用#{}会多个' '导致sql语句失效.此外还有一个like 语句后也需要用${}。
前几天使用# 对order by进行SQL动态注入,发现不生效。
网上查看解决方案。
#{}相当于jdbc中的preparedstatement
${}是输出变量的值
简单的说就是#{}传过来的参数带单引号'',而${}传过来的参数不带单引号。
orderby是肯定只能用 {}了,用#{}会多个' '导致sql语句失效.此外还有一个like 语句后也需要用${}。