爱心助学网站建设/成都seo的方法
mysql sql注入
sql 注入:将sql语句插入到查询参数中,可以获取后端数据,或者修改删除数据库
**************************
示例
查询语句:select * from test where id=?
传入参数:1,查询语句为:select * from test where id='1';
传入参数:1 ‘ or 1=1 #,查询语句为:select * from test where id='1 ' or 1=1 #';
输入该参数后,查询出所有的后端数据
**************************
常用解决办法
对输入参数进行检验;
使用预编译,将查询参数传递给对应的变量;
mybatis 的参数传递方式 “#{}” 就是通过预编译解决sql注入,一般常用此方式传递参数
参数传递方式“${}”会有sql注入问题,使用此方式传递参数时要对参数进行检验,一般在order by时使用该参数传递方式