默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法!
有时只想直接在SQL语句中插入一个不改变的字符串.比如,像ORDER BY,你可以这样来使用:ORDER BY ${column}这里MyBatis不会修改或转义字符串。
重要:接受从用户输出的内容并提供给语句中不变的字符串,这样做是不安全的。这会导致潜在的SQL注入攻击,因此你不应该允许用户输入这些字段,或者通常自行转义并检查!
错误方式:ORDER BY fupdated ${sort, jdbcType=VARCHAR}, fcreated ${sort, jdbcType=VARCHAR}
正确方式:ORDER BY fupdated ${sort}, fcreated ${sort}
前提条件:请对sort进行必要验证,防止sql攻击问题!
转载地址:http://blog.csdn.net/weibing_huang/article/details/7368556