手记

【九月打卡】第13天 实战wiki知识库系统笔记10

课程名称:Spring Boot+Vue3前后端分离,实战wiki知识库系统
课程章节:10-12 思考:高频面试题
主讲老师:甲蛙

课程内容:

1. Mybatis中$和#有什么区别?

  • .#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;可以预防SQL注入

  • 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username=“111”, 如果传入的值是id,则解析成的sql为where username=“id”.

  • 2、$将传入的数据直接显示生成在sql中;不进行预编译,无法预防SQL注入,需要在代码中做处理

  • 如:where username=${username},如果传入的值是111,那么解析成sql时的值为where username=111;如果是传入 or 1=1;这样子筛选条件失效了;

2. Mybatis怎么防止SQL注入?

  • SQL注入漏洞,根本上讲,是由于错把外部输入当作SQL代码去执行

  • 在编写mybatis的映射语句时,尽量采用“#{xxx}”这样的格式。若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。

课程收获

在编写这些问题也在不断的对本章的学习内容回顾,让知识点印象更深刻,日常还是要多多练习,加深印象。

0人推荐
随时随地看视频
慕课网APP