簡單說
#{}是經過預編譯的,是安全的
${}是未經過預編譯的,僅僅是取變量的值,是非安全的,存在sql注入.
在mapper文件中如果使用
ORDER BY #{columnName}
會導致最后sql語句 參數 多加 引號,例如
select * from test order by 'update_time';
要這樣使用
ORDER BY ${columnName}
但是注意這會導致潛在的SQL注入攻擊,因此你需要自行轉義並檢查
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。
猜您在找
MyBatis排序時使用order by 動態參數時需要注意,用$而不是#, #{}和${}的區別以及order by注入問題
Mybatis動態連接數據庫
Mybatis入門——使用mybatis框架查詢數據庫表數據並打印到控制台上
MyBatis(三):數據庫查詢結果不為空,但是使用MyBatis框架查詢為空問題
SpringBoot框架:使用mybatis連接mysql數據庫完成數據訪問(二)
MyBatis使用Zookeeper保存數據庫的配置,可動態刷新
MyBatis框架的insert節點-向數據庫中插入數據
Mybatis框架 使用接口Mapper實現數據庫的crud操作
Spring Boot 框架下使用MyBatis訪問數據庫之基於XML配置的方式
SpringBoot集成Atomikos使用Oracle數據庫mybatis、jta框架