简单说
#{}是经过预编译的,是安全的
${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在sql注入.
在mapper文件中如果使用
ORDER BY #{columnName}
会导致最后sql语句 参数 多加 引号,例如
select * from test order by 'update_time';
要这样使用
ORDER BY ${columnName}
但是注意这会导致潜在的SQL注入攻击,因此你需要自行转义并检查
免责声明!
本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。
猜您在找
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#, #{}和${}的区别以及order by注入问题
Mybatis动态连接数据库
Mybatis入门——使用mybatis框架查询数据库表数据并打印到控制台上
MyBatis(三):数据库查询结果不为空,但是使用MyBatis框架查询为空问题
SpringBoot框架:使用mybatis连接mysql数据库完成数据访问(二)
MyBatis使用Zookeeper保存数据库的配置,可动态刷新
MyBatis框架的insert节点-向数据库中插入数据
Mybatis框架 使用接口Mapper实现数据库的crud操作
Spring Boot 框架下使用MyBatis访问数据库之基于XML配置的方式
SpringBoot集成Atomikos使用Oracle数据库mybatis、jta框架