mysql中 ${param}与#{param}使用区别
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名
例子:(传入值为id)
order by ${param}
则解析成的sql为:
order by id
#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
例子:(传入值为id)
select * from table where name = #{param}
则解析成的sql为:
select * from table where name = "id"
为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击
sql注入简介
直接上了百度的例子,感觉一看就清晰明了
某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
恶意填入
userName = "1' OR '1'='1";与passWord = "1' OR '1'='1";时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1'); "
也就是实际上运行的SQL命令会变成下面这样的strSQL = "SELECT * FROM users;"
这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
到此这篇关于mysql中 ${param}与#{param}使用区别的文章就介绍到这了,更多相关mysql中 ${param}与#{param}区别内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要介绍了对MySQL子查询的简单改写优化,文中的小修改主要将子查询改为关联从而降低查询时关联的次数,需要的朋友可以参考下2015-05-05
这篇文章主要介绍了LInux下安装MySQL5.6 X64版本步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-04-04
mysql记录下查询超过指定时间的语句,被称为慢查询,下面这篇文章主要给大家介绍了关于MySQL定位并优化慢查询sql的相关资料,文中通过图文介绍的非常详细,需要的朋友可以参考下2021-12-12
本文给大家讲述的是Mysqli的基础知识,非常的浅显易懂,有需要的小伙伴就可以参考下。2015-07-07
MySQL安装第四步报错(initializing database报错)的图文解决方法
这篇文章主要给大家介绍了关于MySQL安装第四步报错(initializing database报错)的解决方法,"initializing database" 通常出现在安装MySQL的过程中,表示MySQL数据库初始化过程中遇到了问题,需要的朋友可以参考下2024-06-06
SQL,这门备受推崇的编程语言,在关系数据库操作中扮演着不可或缺的角色,然而,伴随着数据库模式的不断增长和不断演进,编写和维护SQL代码可能会变得相当具有挑战性,为了确保你的SQL代码能够具备高可读性、易维护性以及出色的性能,以下是十个不容忽视的最佳实践2023-10-10
这篇文章主要为大家详细介绍了 Centos下Mysql安装图文教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2016-10-10
这篇文章主要为大家介绍了mysql sock文件存储了什么信息的内容详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-07-07
这篇文章主要介绍了Mysql数据库锁定机制详细介绍,本文用大量内容讲解了Mysql中的锁定机制,例如MySQL锁定机制简介、合理利用锁机制优化MySQL等内容,需要的朋友可以参考下2014-12-12
master and slave have equal MySQL server ids
Fatal error: The slave I/O thread stops because master and slave have equal MySQL server ids2013-07-07
最新评论