SQL注入
SQL注入,是指通过字符串拼接的方式构成了一种特殊的查询语句
比如:select * from t_user where usename=‘’ and password=‘’
’ or 1=1 #
select * from t_user where usename=‘’ or 1=1 # ’ and password=‘’
解决方案
采用预处理对象,采用PreparedStatement对象,而不是Statement对象,可以解决SQL注入的问题。
另外也可以提高执行效率,因为是预先编译执行。
SQL执行过程(语法校验->编译->执行)
MyBatis如何解决了SQL注入的问题?采用#
#和$的差异?
#{}是预编译处理、是占位符, $ {} 是字符串替换、是拼接符。
Mybatis 在处理#{}时,会将 sql 中的#{}替换为?号,调用 PreparedStatement 来赋值;
Mybatis 在处理$ {}时, 就是把$ {}替换成变量的值,调用 Statement 来赋值;
#{} 的变量替换是在DBMS 中、变量替换后,#{} 对应的变量自动加上单引号。
$ {} 的变量替换是在 DBMS 外、变量替换后,$ {} 对应的变量不会加上单引号。
MyBatis的#和$的差异,#可以解决SQL注入,而 $号不能解决。