mysql中 ${param}与#{param}区别
来源:互联网 发布:c语言算法的基本特征 编辑:程序博客网 时间:2024/05/17 22:18
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名
例子:(传入值为id)
order by ${param}
则解析成的sql为:
order by id
#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
例子:(传入值为id)
select * from table where name = #{param}
则解析成的sql为:
select * from table where name = "id"
为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击
sql注入简介
直接上了百度的例子,感觉一看就清晰明了
strSQL =
"SELECT * FROM users WHERE (name = '"
+ userName +
"') and (pw = '"
+
passWord
+
"');"
恶意填入
userName =
"1' OR '1'='1"
;
与passWord
=
"1' OR '1'='1"
;
时,将导致原本的SQL字符串被填为strSQL =
"SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是实际上运行的SQL命令会变成下面这样的strSQL =
"SELECT * FROM users;"
这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
阅读全文
0 0
- mysql中 ${param}与#{param}区别
- mysql中 ${param}与#{param}区别
- Servlet中init-param与context-param的区别
- <context-param>与<init-param>的区别
- <context-param>与<init-param>的区别
- ibatis的$param$与#param#的区别
- ibatis的$param$与#param#的区别
- <context-param>与<init-param>的区别
- 浅谈init-param与context-param区别
- JAVA基础(二) web.xml中<context-param>与<init-param>的区别与作用
- web.xml中<context-param>与<init-param>的区别与作用
- <context-param>与<init-param>的区别与在分别存在哪些对象中。
- Spring中<context-param>与<init-param>的区别与作用
- Spring框架中context-param与servlet中init-param的contextConfigLocation的区别
- Spring框架中context-param与servlet中init-param的contextConfigLocation的区别
- Spring框架中context-param与servlet中init-param的contextConfigLocation的区别
- web.xml文件中context-param与init-param的区别
- web.xml中<context-param>的作用,及与init-param区别
- mysql建索引的几大原则
- Lua和C++交互详细总结
- Spring--AOP-AOP编程术语
- PL/SQL高级编程
- h264 流、帧结构
- mysql中 ${param}与#{param}区别
- 000042:在主方法中使用for循环来计算2~100之间所有偶数之和
- 使用PDF.js如何显示pdf文件的电子签章
- html 页面实现打印(jqprint)
- 安卓手写板app
- 关于证书那点事---把一个p7b格式证书转换成cer格式证书。
- xcode安装simulator失败解决方法
- Ubuntu Desktop 16.04下安装Oracle Java (JDK) 8
- export和export default的区别