sql中#和$的区别--688IT编程网

sql中#和$的区别

三：sql中 # 和 $ 的区别： #可以防⽌sql注⼊

#是占位符，在DBMS才进⾏替换，在预编译时使⽤?占位，能防⽌sql注⼊；

delete from user where name = ?;

⽽传⼊的参数将会经过PreparedStatement⽅法的强制类型检查和安全检查等处理，最后作为⼀个合法的字符串传⼊。

在#{}预处理之后可以预防SQL注⼊传⼊username 为 xiaoming‘or’1=1，使⽤#{}，经过sql动态解析和预编译，会把单引号转义为 ’ 那么sql最终解析为: delete from user where name = "xiaoming\' or \'1=1 ";

$是拼接符，在动态sql解析阶段将会进⾏变量替换，有可能会引发sql注⼊

sql中delete用法

${}这种⽅式只是简单的字符串替换，在动态SQL解析阶段将会进⾏变量替换，假如传递的参数为xiaoming,

最终处理结果如下:

delete from user where name = 'xiaoming' ;

预编译之前就已经被替换，有被注⼊的风险。如果传⼊的为那么使⽤{} 处理后直接替换字符串的sql就解析为:

delete from user where name = 'a' or '1=1' ;

这样整个表的数据就会被⼲掉引发⽣产事故

发表评论

688IT编程网

sql中#和$的区别

发表评论

推荐文章

negotiable certificates of deposits -回复

trandate翻译 -回复

tenoke翻译 -回复

避免合同倒签的方法

cut down the transaction cost

热门文章

cas regexregisteredservice 票根 -回复

SSD硬盘日常维护和Trim

truncate 函数

deployment删除流程

bankaccount类banktransaction -回复

Computer arrangement using non-refreshed dram

kotlin copyonwritearraylist -回复

PACKET LOSS TOLERANT RESHAPING METHOD

COMPUTING MECHANISM FOR PREVENTION OF COLUMN TRUNC

Chain-stopped unsaturated polyester resin

TruncateTable用法

[宝典]MSSQL数据库修复方法

翻译学习积累

命令翻译

专四词汇精讲讲义曲根

TD英文对照

Deployable truss having second order augmentation

托福词汇介绍之四胞胎quadruplets

物流行业术语的英文翻译概要

premature truncating mutations -回复

最新文章

trandate翻译 -回复

tenoke翻译 -回复

避免合同倒签的方法

cut down the transaction cost

pronoun-antecedent agreement -回复

recurring transaction authority -回复

标签列表