Mybatis中字符串替换问题

时间:2022-12-12 05:09:34

  默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法!

  有时只想直接在SQL语句中插入一个不改变的字符串.比如,像ORDER BY,你可以这样来使用:ORDER BY ${column}
  这里MyBatis不会修改或转义字符串。
  重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查!
  错误方式:ORDER BY fupdated ${sort, jdbcType=VARCHAR}, fcreated ${sort, jdbcType=VARCHAR}
  正确方式:ORDER BY fupdated ${sort}, fcreated ${sort}

  前提条件:请对sort进行必要验证,防止sql攻击问题!

  转载地址:http://blog.csdn.net/weibing_huang/article/details/7368556