当使用mybatis时怎么防止sql注入-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

当使用mybatis时怎么防止sql注入

游客z76m23xktjsys 2021-09-28 16:05:52 30

能详细说说不

云服务器登录 云服务器设置
分享到
取消 提交回答
全部回答(1)
  • oavvqvikfwshq
    2021-09-28 16:52:48

    MyBatis框架作为一款半自动化的持久层框架,其SQL语句都要我们自己手动编写,这个时候当然需要防止SQL注入。其实,MyBatis的SQL是一个具有“输入+输出”的功能,类似于函数的结构,如下: SELECT id,title,author,content FROM blog WHERE id=#{id} 这里,parameterType表示了输入的参数类型,resultType表示了输出的参数类型。回应上文,如果我们想防止SQL注入,理所当然地要在输入参数上下功夫。上面代码中黄色高亮即输入参数在SQL中拼接的部分,传入参数后,打印出执行的SQL语句,会看到SQL是这样的: SELECT id,title,author,content FROM blog WHERE id = ? 不管输入什么参数,打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能,在SQL执行前,会先将上面的SQL发送给数据库进行编译;执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以这样的方式就很好地避免了SQL注入的问题。

    0 0
数据库
使用钉钉扫一扫加入圈子
+ 订阅

分享数据库前沿,解构实战干货,推动数据库技术变革

相似问题
最新问题