sql注入
Posted bloom_camellia
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sql注入相关的知识,希望对你有一定的参考价值。
什么是sql注入,也可以看一些好的博客,比如 http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html。
预防sql注入:
1. 不使用${}在sql中取值,可以用%||#{}||%代替,每个数据库方言不同,具体可以看看这里https://www.cnblogs.com/forget406/p/5506394.html。
2. 使用标签连接,比如(这样可以在数据库不同的时候,也都是可以用的)
<if test="usname!= null and usname!=\'\'"> <bind name="usnamesql" value="\'%\' + _parameter.usname+ \'%\'" /> and us_name like #{usnamesql} </if>
3. 在传入参数的时候进行参数校验,参考这里https://www.cnblogs.com/baizhanshi/p/6002898.html。
还有其它的方式不太知道了,后续看到再添加吧,哈哈~~
以上是关于sql注入的主要内容,如果未能解决你的问题,请参考以下文章