#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以SQL注入;
like查询不小心会有漏洞,正确写法如下:

Mysql:    
select * from t_user where name like concat('%', #{name}, '%')

Oracle:  
 select * from t_user where name like '%' || #{name} || '%'

SQLServer:  
select * from t_user where name like '%' + #{name} + '%'




# mysql # mybatis # 安全
Logo
一门面向 Data 和 AI 的低代码、云原生的开源编程语言

无需安装部署,在线快速体验 Byzer

更多推荐

cover

byzer plugin install log

avatar Byzer 白泽

函数实现越通用越好?来看看 Byzer-LLM 的 Function Implementation 带来的编程思想大变化...

前言Function Calling 是 OpenAI 首先提出来的一个非常有用的功能,实现了大模型对函数的调用能力。Byzer-LLM 给开源模型也带来了 Function Calling 实现。在这个基础上,我们还拓展了 Respond With Class 功能,允许大模型输出标准的Python对象,进步控制了大模型的输出能力。这两个能力参看:给开源大模型带来Function Callin.

avatar Byzer 白泽
cover

OpenMLDB+Byzer,SQL 也能玩转机器学习全流程

avatar Byzer 白泽