mysql中 ${param}与#{param}区别
来源:互联网 发布:河南城建学院教务网络 编辑:程序博客网 时间:2024/05/22 08:09
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名
例子:(传入值为id)
order by ${param}
则解析成的sql为:
order by id
#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
例子:(传入值为id)
select * from table where name = #{param}
则解析成的sql为:
select * from table where name = "id"
为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击
sql注入简介
直接上了百度的例子,感觉一看就清晰明了
某个网站的登录验证的SQL查询代码为:
strSQL =
"SELECT * FROM users WHERE (name = '"
+ userName +
"') and (pw = '"
+
passWord
+
"');"
恶意填入
userName =
"1' OR '1'='1"
;
与
passWord
=
"1' OR '1'='1"
;
时,将导致原本的SQL字符串被填为
strSQL =
"SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是实际上运行的SQL命令会变成下面这样的
strSQL =
"SELECT * FROM users;"
这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
0 0
- mysql中 ${param}与#{param}区别
- mysql中 ${param}与#{param}区别
- Servlet中init-param与context-param的区别
- <context-param>与<init-param>的区别
- <context-param>与<init-param>的区别
- ibatis的$param$与#param#的区别
- ibatis的$param$与#param#的区别
- <context-param>与<init-param>的区别
- 浅谈init-param与context-param区别
- JAVA基础(二) web.xml中<context-param>与<init-param>的区别与作用
- web.xml中<context-param>与<init-param>的区别与作用
- <context-param>与<init-param>的区别与在分别存在哪些对象中。
- Spring中<context-param>与<init-param>的区别与作用
- Spring框架中context-param与servlet中init-param的contextConfigLocation的区别
- Spring框架中context-param与servlet中init-param的contextConfigLocation的区别
- Spring框架中context-param与servlet中init-param的contextConfigLocation的区别
- web.xml文件中context-param与init-param的区别
- web.xml中<context-param>的作用,及与init-param区别
- 大数据之Linux实战---步入linux
- poj 2253 Frogger 最短路径变形(两种方法)
- 【Android】 开发干货-技术分享(ClearableEditText实现)
- C/C++一些零碎的知识
- ionic开发——Android 返回键
- mysql中 ${param}与#{param}区别
- 学习纪录
- 多线程还是多进程的选择及区别
- CSS3 3D变换
- tomcat布置项目之后乱码问题
- Java基础知识点(中)
- java compiler level does not match the version of the installed java project
- Spring与Quartz集成详解
- MSVC 版本号对应