mysql中 ${param}與#{param}區別
阿新 • • 發佈:2019-01-07
${param}傳遞的引數會被當成sql語句中的一部分,比如傳遞表名,欄位名
例子:(傳入值為id)
order by ${param}
則解析成的sql為:
order by id
#{parm}傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號
例子:(傳入值為id)
select * from table where name = #{param}
則解析成的sql為:
select * from table where name = "id"
為了安全,能用#的地方就用#方式傳參,這樣可以有效的防止sql注入攻擊
sql注入簡介
直接上了百度的例子,感覺一看就清晰明瞭
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"惡意填入
userName = "1' OR '1'='1";
與passWord = "1' OR '1'='1";
時,將導致原本的SQL字串被填為strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
也就是實際上執行的SQL命令會變成下面這樣的strSQL = "SELECT * FROM users;"
這樣在後臺帳號驗證的時候巧妙地繞過了檢驗,達到無賬號密碼,亦可登入網站。所以SQL注入攻擊被俗稱為黑客的填空遊戲。