主頁 > 知識庫 > mysql中 ${param}與#{param}使用區(qū)別

mysql中 ${param}與#{param}使用區(qū)別

熱門標簽:咸陽防封電銷卡 臨沂做地圖標注 地圖標注客戶付款 申請400電話電話價格 許昌外呼增值業(yè)務(wù)線路 宜賓全自動外呼系統(tǒng)廠家 石家莊400電話辦理公司 廣東400企業(yè)電話申請流程 新鄉(xiāng)智能外呼系統(tǒng)好處

${param}傳遞的參數(shù)會被當成sql語句中的一部分,比如傳遞表名,字段名

例子:(傳入值為id)

order by ${param} 

則解析成的sql為:

order by id

#{parm}傳入的數(shù)據(jù)都當成一個字符串,會對自動傳入的數(shù)據(jù)加一個雙引號

例子:(傳入值為id)

select * from table where name = #{param}

則解析成的sql為:

select * from table where name = "id"

為了安全,能用#的地方就用#方式傳參,這樣可以有效的防止sql注入攻擊

sql注入簡介

直接上了百度的例子,感覺一看就清晰明了

某個網(wǎng)站的登錄驗證的SQL查詢代碼為:

strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"

惡意填入
userName = "1' OR '1'='1";與passWord = "1' OR '1'='1";時,將導(dǎo)致原本的SQL字符串被填為
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1'); "
也就是實際上運行的SQL命令會變成下面這樣的strSQL = "SELECT * FROM users;"

這樣在后臺帳號驗證的時候巧妙地繞過了檢驗,達到無賬號密碼,亦可登錄網(wǎng)站。所以SQL注入攻擊被俗稱為黑客的填空游戲。

到此這篇關(guān)于mysql中 ${param}與#{param}使用區(qū)別的文章就介紹到這了,更多相關(guān)mysql中 ${param}與#{param}區(qū)別內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

您可能感興趣的文章:
  • Mybatis下動態(tài)sql中##和$$的區(qū)別講解
  • 淺談mybatis中的#和$的區(qū)別 以及防止sql注入的方法

標簽:鎮(zhèn)江 鷹潭 臺灣 北京 合肥 貴州 日照 阜新

巨人網(wǎng)絡(luò)通訊聲明:本文標題《mysql中 ${param}與#{param}使用區(qū)別》,本文關(guān)鍵詞  mysql,中,param,與,使用,區(qū)別,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《mysql中 ${param}與#{param}使用區(qū)別》相關(guān)的同類信息!
  • 本頁收集關(guān)于mysql中 ${param}與#{param}使用區(qū)別的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章