$将傳入的資料直接顯示生成在sql中。如:order by \(user_id\),如果傳入的值是111,那麼解析成sql時的值為order by user_id, 如果傳入的值是id,則解析成的sql為order by id.
4.$方式無法防止Sql注入。
5.\(方式一般用于傳入資料庫對象,例如傳入表名. 6.一般能用#的就别用\).
MyBatis排序時使用order by 動态參數時需要注意,用$而不是#
字元串替換
預設情況下,使用#{}格式的文法會導緻MyBatis建立預處理語句屬性并以它為背景設定安全的值(比如?)。這樣做很安全,很迅速也是首選做法,有時你隻是想直接在SQL語句中插入一個不改變的字元串。比如,像ORDER BY,你可以這樣來使用:
ORDER BY ${columnName}
這裡MyBatis不會修改或轉義字元串。
重要:接受從使用者輸出的内容并提供給語句中不變的字元串,這樣做是不安全的。這會導緻潛在的SQL注入攻擊,是以你不應該允許使用者輸入這些字段,或者通常自行轉義并檢查。
若轉載請注明出處!若有疑問,請回複交流!
![GitHub連夜封殺!這份阿裡 10W 字内部 Java 字面試手冊到底有多強?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)