Mabatis中模糊查询防止sql注入的方法教程,mabatis模糊查询
Mabatis中模糊查询防止sql注入
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以SQL注入;
like查询不小心会有漏洞,正确写法如下:
Mysql:
select * from user where name like concat('%', #{name}, '%')
Oracle:
select * from user where name like '%' || #{name} || '%'
SQLServer:
select * from user where name like '%' + #{name} + '%'
本站文章为和通数据库网友分享或者投稿,欢迎任何形式的转载,但请务必注明出处.
同时文章内容如有侵犯了您的权益,请联系QQ:970679559,我们会在尽快处理。