2. 程式人生 > >mysql語法之--#與$符號關鍵字的用法(一)

mysql語法之--#與$符號關鍵字的用法(一)

阿新 發佈:2019-02-15

一、#與$ 的sql拼接區別

      1、${param}傳遞的引數會被當成sql語句中的一部分,比如傳遞表名,欄位名

           例子:(傳入值為id)

                    order by ${param}

                    則解析成的sql為:

                     order by id

            #{parm}傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號

           例子:(傳入值為id)

                   select * from table where name = #{param}

                   則解析成的sql為:

                  select * from table where name = "id"

二、#與$ 的安全性

       1、#能防止SQL注入而$不能

三、 sql注入簡介

        如:某個網站的登入驗證的SQL查詢程式碼為:

strSQL = "SELECT * FROM users WHERE (name = '"+ userName + "') and (pw = '"passWord+"');"

          惡意填入   userName = "1' OR '1'='1"
;passWord "1' OR '1'='1";時,將導致原本的SQL字串被填為
      strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
        也就是實際上執行的SQL命令會變成下面這樣的
     strSQL = "SELECT * FROM users;"

這樣在後臺帳號驗證的時候巧妙地繞過了檢驗,達到無賬號密碼,亦可登入網站。所以SQL注入攻擊被俗稱為黑客的填空遊戲。

相關推薦

mysql語法--#$符號關鍵字用法

一、#與$ 的sql拼接區別       1、${param}傳遞的引數會被當成sql語句中的一部分,比如傳遞表名,欄位名            例子:(傳入值為id)                     order by ${param}          

MySQL中的關鍵字用法

MySQL中關鍵字的用法(一) Insert:增加 insert into * values() insert into user values(‘11’,‘諸葛亮’,‘1011’); 不多解釋,向表中新增一條語句,不清楚的去看MySQL的簡單的增刪改查

Android入門——Fragment詳解基本概念用法

引言 Android在3.0中引入了Fragments的概念,其目的是用在大螢幕裝置上–例如平板電腦上,支援更加動態和靈活的UI設計。平板電腦的螢幕要比手機的大得多,有更多的空間來放更多的UI元件,並且這些元件之間會產生更多的互動。Fragment允許這樣的一

MySQL中的關鍵字用法

MySQL中的關鍵字的用法(二) limit:偏移量和數量 注意limit和offset的區別,下面有寫到offset,注意區分; 在我們使用查詢語句的時候,經常要返回前幾條或者中間某幾行資料,這個時候怎麼辦呢?不用擔心,mysql已經為我們提供了這樣一個功

Centos 7.0 編譯安裝LAMPLinxu+apache+mysql+php源碼安裝Apache

mysql apache mysql編譯安裝 apache編譯安裝 lamp編譯安裝 Apache 簡介: Apache是世界使用排名第一的Web服務器軟件。它可以運行在幾乎所有廣泛使用的計算機平臺上,由於其跨平臺和安全性被廣泛使用,是最流行的Web服務器端軟件之一。它快速、可靠

Linux基礎常見命令用法

linux基礎命令入門(一)一、Linux文件目錄結構 在講述之前,先簡短的說說Windows文件結構,打開‘計算機’,看到的一個個的驅動器(盤符,例C盤、D盤等),點開其中任意盤符,看到的是一個個文件或文件夾,繼續打開...,每個盤都有自己的根目錄。若是把其打開過程畫下來,便可得到如下多棵倒樹並列的圖

djangoORM介紹基本用法

  一、ORM介紹 1.什麼是ORM ORM 全拼Object-Relation Mapping. 中文意為 物件-關係對映. 在MVC/MVT設計模式中的Model模組中都包括ORM 2.ORM優勢 (1)只需要面

.NET 官方驅動MongoDB.Driver的聚合管道Aggregate用法 具體實現

工作需要,用到MongoDB,筆者也是邊學邊用,基於官方的驅動MongoDB.Driver的Aggregate具體用法,網上資料甚少,且部分實現記錄並不詳盡。也是邊學邊用,文中錯誤之處,請留言指正。 筆者在儲存和基本的時間範圍查詢時,都可以不使用聚合管道實現而使用約束器FilterDefinit

Mysql基本用法

 本博文是屬於一個系列,主要是根據馬哥視訊總結而來,主要是為了本人日後回看之用,也供道友參考            MariaDB or Mysql:     DBMS     RDBMS:關係型資料庫管理系統         C/S,通過專有協議         關係模型

seleniumunittest的簡單用法

一、unittest 的執行順序 很多初學者在使用 unittest 框架時候,不清楚用例的執行順序到底是怎樣的。 對測試類裡面的類和方法分不清楚,不知道什麼時候執行,什麼時候不執行。 本篇通過最簡單案例詳細講解 unittest 執行順序。 二、案

複習MyBatis基礎用法——XML對映檔案

簡介 什麼是 MyBatis ? MyBatis 是支援定製化 SQL、儲存過程以及高階對映的優秀的持久層框架。MyBatis 避免了幾乎所有的 JDBC 程式碼和手工設定引數以及抽取結果集。MyBatis 使用簡單的 XML 或註解來配置和對映基本體,將介面和

MySQLSQL優化詳解

目錄 慢查詢日誌 1. 慢查詢日誌開啟 2. 慢查詢日誌設定與檢視 3.日誌分析工具mysqldumpslow   序言: 在我面試很多人的過程中,很多人談到S

項目進階 集群環境搭建概述

問題 特點 多臺 cpu 好的 content 成了 系統資源 通過 今天我們說一個不是特別新,但近期今年伴隨大數據熱而比較火的一個技術-集群技術。 什麽是集群技術 集群(Cluster)技術是指一組相互犭蟲立的計算機,利用快速通信網絡組

Mysql數據庫性能優化

效率 dir sort variables 緩存 模型 mysql5.6 包含 dpt 參考 http://www.jb51.net/article/82254.htm 今天,數據庫的操作越來越成為整個應用的性能瓶頸了,這點對於Web應用尤其明顯。關於數據庫的性能,這並不只

Java面向對象例子

顯示 人類 運算 例子 ble person 成員變量 年月日 pub 定義一個人類,給這個類定義一個從身份證獲取生日的方法,輸入身份證,獲取出生年月日 //主方法 package com.hanqi.maya.model; import java.util.Scanne

haproxy高可用非搶占keepalived

haproxy keepalivedHAProxy簡介HAProxy是免費、極速且可靠的用於為TCP和基於HTTP應用程序提供高可用、負載均衡和代理服務的解決方案,尤其適用於高負載且需要持久連接或7層處理機制的web站點。HAProxy還可以將後端的服務器與網絡隔離,起到保護後端服務器的作用。HAProxy的

react入門使用webpack搭配環境

ges 名稱 更新 2.0 ref gin 分配 res body react入門之搭配環境(一) 如果你想直接上手開發,而跳過這些搭配環境的繁瑣過程,推薦你使用官方的create-react-app命令 npm install -g create-react-app

機器學習SVM初解淺析:最大距離

機器學習 svm 最大距離 2 / ||w|| 這段時間在看周誌華大佬的《機器學習》,在看書的過程中,有時候會搜搜其他人寫的文章,對比來講,周教授講的內容還是比較深刻的,但是前幾天看到SVM這一章的時候,感覺甚是晦澀啊,第一感覺就是比較抽象,特別是對於像本人這種I

機器學習SVM初解淺析:

機器學習 svm 最大距離 2 / ||w||sdsshngshan‘gccha 這段時間在看周誌華大佬的《機器學習》,在看書的過程中,有時候會搜搜其他人寫的文章,對比來講,周教授講的內容還是比較深刻的,但是前幾天看到SVM這一章的時候,感覺甚是晦澀啊,第一感覺就

C# ABP源碼詳解 BackgroundJob,後臺工作

技術分享 轉發 cbac wid 性能 更新 strong ron bst 本文歸屬作者所有,轉發請註明本文鏈接。 1. 前言 ABP的BackgroundJob,用來處理耗時的操作。比如客戶端上傳文件,我們要把文件(Excel)做處理,這耗時的操作我們應該放到後臺工作