什么是SQL注入以及mybatis中#{}为什么能防止SQL注入而${}为什么不能防止SQL注入SQL注入是通过把SQL命令插入到web表单提交或通过页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL指令。 注入攻击的本质是把用户输入的数据当做代码执行。 举例如: 表单有两个用户需要填写的表单数据,用户名和密码,如果用户输入admin(用户名),111(密码),若数据库中存在此用户则登录成功。SQL大概是这样 SELECT * FROM XXX WHERE userName = admin and password = 111 但若是遭到了SQL注入,输入的数据变为 admin or 1 =1 # 密码随便输入,这时候就直接登录了,SQL大概是这样 SELECT * FROM XXX WHERE userName = admin or 1 = 1 # and password = 111 ,因为 # 在sql语句中是注释,将后面密码的验证去掉了,而前面的条件中1 = 1始终成立,所以不管密码正确与否,都能登录成功。在mybatis中,$
admin
这个人很懒,什么都没写!!!