【SQL注入】Mybatis框架下的sql注入白盒审计
一、Mybatis框架下sql语句的两种写法1.select * from [tablename] where [column]=#{value}#{value},即使用JDBC预编译模式,可以有效防止sql注入漏洞的产生。2.select * from [tablename] where [column]=${value}${value},该方式为sql语句的动态拼接,若该参数外部可控且未做校验,则存在sql注入的风险。二、Mybatis框架下两种提供SQL语句的方式1.在*map
