造成SQL注入攻击的根本原因在于攻击者可以改变SQL查询的上下文,使程序员原本要作为数据解析的数值,被篡改为命令了。防止SQL注入的方法如下:
正确使用参数化API进行SQL查询。
如果构造SQL指令时需要动态加入约束条件,可以通过创建一份合法字符串列表,使其对应于可能要加入到SQL指令中的不同元素,来避免SQL注入攻击。
<!--select user information by name--><select id="queryByUserName" resultMap="userResultMap" parameterType="String">select * from db_user where user_name=#{username}</select>
若有收获,就点个赞吧
0 人点赞
