SQL注入：利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)執(zhí)行一些惡意的操作。
在mybatis 中比較容易出現(xiàn)：${} 會(huì)發(fā)生sql 注入問(wèn)題

#{}: 解析為一個(gè) JDBC 預(yù)編譯語(yǔ)句（prepared statement）的參數(shù)標(biāo)記符，一個(gè) #{ } 被解析為一個(gè)參數(shù)占位符,可以防止SQL注入問(wèn)題。

${}: 僅僅為一個(gè)純碎的 string 替換，在動(dòng)態(tài) SQL 解析階段將會(huì)進(jìn)行變量替換。

轉(zhuǎn)載于:https://www.cnblogs.com/pickKnow/p/11264961.html

總結(jié)

以上是生活随笔為你收集整理的常见Web安全漏洞--------sql注入的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。