SQL中，有效防止like的SQL注入

2023-05-11 22:37:14

SQL中有效防止like的SQL注入

#{xxx}，使用的是PreparedStatement，会有类型转换，所以比较安全。

${xxx}，使用字符串拼接，可以SQL注入。

like查询不小心会有漏动，正确写法如下：

Mysql

select * from t_user where name like concat('%', #{name}, '%')

Oracle

select * from t_user where name like '%' || ? || '%'

SQL Server

select * from t_user where name like '%' + ? + '%'

sql 防止sql注入

上一篇: ORA-04098: trigger ‘SYS.GGS_DDL_TRIGGER_BEFORE‘ is invalid and failed re-validation处理

下一篇: 如何防止sql注入_thinkphp如何防止sql注入

继续阅读

oracle中的start with connect by用法
start with Oracle sql 递归查询
08-07
JDBC连接数据库（statement）
java修炼笔记数据库 Java-我的大学生涯 java JDBC gui sql
08-07
MyBatis-Plus 之AR模式
java 后端 sql spring
11-09
ASP编程经典例子
asp 编程 sql 服务器 application microsoft
08-07
ASP编程中20个非常有用的例子
asp 编程 microsoft sql 服务器 application
08-07
龙珠训练营task04
html sql html5
08-07
阿里云天池龙珠计划SQL训练营打卡
sql
08-07
阿里云天池龙珠计划SQL训练营day1
基础学习 sql
08-07
实验楼sql进阶之成绩管理系统的数据操作(window)
sql 实验楼进阶成绩管理系统
08-07
Oracle的基本操作
Oracle sql 表空间
11-09
SQL优化SQL语句优化的目的
sql
08-07
JAVA高效编程指南
编程 java 数据结构 sql DAO
08-07
关于SQL语言
sql
08-07
SQL语言基础：常用的数据查询语句
数据库 mysql java sql Oracle
08-07
neo4j之cypher使用文档
数据库 java sql mysql 正则表达式
08-07
sqlServer根据经纬查距离
sql
08-07