mysql中 ${param}与#{param}使用区别
${param}传递的参数会被当成sql语句中的一部分,比如传递表名,字段名
例子:(传入值为id)
order by ${param}
则解析成的sql为:
order by id
#{parm}传入的数据都当成一个字符串,会对自动传入的数据加一个双引号
例子:(传入值为id)
select * from table where name = #{param}
则解析成的sql为:
select * from table where name = "id"
为了安全,能用#的地方就用#方式传参,这样可以有效的防止sql注入攻击
sql注入简介
直接上了百度的例子,感觉一看就清晰明了
某个网站的登录验证的SQL查询代码为:
strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
恶意填入
userName = "1' OR '1'='1";与passWord = "1' OR '1'='1";时,将导致原本的SQL字符串被填为
strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1'); "
也就是实际上运行的SQL命令会变成下面这样的strSQL = "SELECT * FROM users;"
这样在后台帐号验证的时候巧妙地绕过了检验,达到无账号密码,亦可登录网站。所以SQL注入攻击被俗称为黑客的填空游戏。
到此这篇关于mysql中 ${param}与#{param}使用区别的文章就介绍到这了,更多相关mysql中 ${param}与#{param}区别内容请搜索小牛知识库以前的文章或继续浏览下面的相关文章希望大家以后多多支持小牛知识库!
-
描述: 记录传递给一个函数的参数。 别名: arg argument 概述 @param标签提供了对某个函数的参数的各项说明,包括参数名、参数数据类型、描述等。 @param标签要求您指定要描述参数的名称。您还可以包含参数的数据类型,使用大括号括起来,和参数的描述。 参数类型可以是一个内置的JavaScript类型,如string或Object,或是你代码中另一个标识符的JSDoc namepat
-
有时,在声明方法时,您不确定作为参数传递的参数的数量。 在这种时候,C#param数组(或参数数组)会得到帮助。 以下示例演示了这一点 - using System; namespace ArrayApplication { class ParamArray { public int AddElements(params int[] arr) { int sum
-
@Param有什么用<当我看到一个关于这个的问题时<我找不到相对的答案 http://localhost:8080/MyWebApp/main.obj?name=priya 我们可以使用@RequestParam来检索该值<我的问题是@Param可以被使用吗?
-
描述 (Description) HTML 标记用于使用标记将参数传递给嵌入对象。 例子 (Example) 您可以使用标记指定与文档相关的一些参数。 这是一个嵌入wav文件的示例 - <!DOCTYPE html> <html> <head> <title>HTML param Tag</title> </head> <body> <object tit
-
问题内容: 是否存在一些可用于日期或时间戳的内容? 样例代码: 问题答案: 在SQL查询中写日期时,您将其写为字符串。您必须对准备好的语句执行相同的操作,并使用,就像您在建议的代码部分中所做的一样。 对于“时间戳”,如果用“时间戳”表示: MySQL时间戳数据类型:相同,您将其作为 PHP Unix时间戳,它是一个整数:您将为其传递一个。
-
<jsp:param> 动作用来传递参数信息,经常和其它动作一起使用,例如 <jsp:include> 和 <jsp:forward>。 <jsp:param> 的语法如下: name 指定参数名称,value 指定参数值。 示例 在 login.jsp 中传递参数,并转发到 index.jsp 页面。login.jsp 代码如下: index.jsp 代码如下: 访问 login.jsp 结果如