代码审计
sql注入
order by注入
#{}:预编译处理,MyBatis会将其转换为参数化查询
${}:直接字符串替换
由于order by子句后通常跟随列名而不是值,使用预编译语句会导致语法错误,开发者不得不使用字符串拼接方式构建。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Mylog!
order by注入
#{}:预编译处理,MyBatis会将其转换为参数化查询
${}:直接字符串替换
由于order by子句后通常跟随列名而不是值,使用预编译语句会导致语法错误,开发者不得不使用字符串拼接方式构建。
