【 以下文字转载自 Java 讨论区 】
发信人: mockoba (何塞·马蒂), 信区: Java
标 题: mybatis里order by 不能用#
发信站: 水木社区 (Tue Jul 26 11:39:33 2016), 站内
用mybatis做数据库查询,发现传进去的order by参数没起作用,查了一下,
发现不能用 # 号,得用 $ 号做替换,好像是#号会把参数escape掉。
哪位大侠能解释解释,#号是如何把参数escape掉的?
另外,用$号容易受到sql注入攻击。请问如何防护?
最好的方法是啥,既没有sql注入问题,又没有escape问题?
谢谢!
--
FROM 111.204.243.*