SQL注入是一种数据库攻击手段。攻击者通过向应用程序提交恶意代码来改变原SQL语句的含义,进而执行任意SQL命令,达到入侵数据库乃至操作系统的目的。
注入类型有三种:基本类型 自定义类型 Map集合类型
<select id="queryByUserName" resultMap="userResultMap" parameterType="String">
select * from db_user where user_name=${username}
</select>
攻击方式:
如果攻击者能够替代username中的任意字符串,它们可以使用下面的关于username的字符串进行