我们任何时候都不应该自己拼接SQL语句! sqlInjectDemo("xxx' or 1=1#") sqlInjectDemo("xxx' union select * from user #") sqlInjectDemo("xxx' and (select count(*) from user ...
分类:
数据库 时间:
2020-02-10 22:48:10
阅读次数:
85
MyBatis简介: MyBatis源自Apache的iBatis开源项目, 从iBatis3.x开始正式更名为MyBatis。它是一个优秀的持久层框架。 MyBatis作用: 为了和数据库进行交互,通常的做法是将SQL语句写在Java代码中,SQL语句和Java代码耦合在一起不利于后期维护修改,而 ...
分类:
其他好文 时间:
2020-02-10 22:14:09
阅读次数:
76
题目解读: 此题涉及到的数据库表:【departments 部门信息】、【dept_emp 部门_员工 关系表】、【employees 员工信息】 方法一:not exists 1. 思路 查找符合下列条件的雇员:不存在一个部门,雇员没有在该部门工作过; 2. sql 语句 select emp_n ...
分类:
其他好文 时间:
2020-02-10 18:25:21
阅读次数:
277
PostgreSQL对表名、字段名都是区分大小写的。在图形化界面可以正常新建。用SQL语句的时候需要加双引号,如果jdbc查询等处,记得使用转义符号。 PostgreSQL在SQL语句中对大小写是不敏感的。 select ID from t_user 和 select id from t_user都 ...
分类:
其他好文 时间:
2020-02-10 12:02:38
阅读次数:
58
1、SSM的开发步骤是什么: (1)建库建表,导入测试数据 (2)先写数据访问层mapper层,写出所需要的增删改查接口,并创建映射xml文件,将对应的sql语句写好 (3)service层,先写好业务层的接口,然后实现接口,写好业务 (4)controller层 (5)配置过滤器Character ...
分类:
其他好文 时间:
2020-02-10 11:27:01
阅读次数:
126
SQL注入 当我们学习一个知识时我们要考虑几个问题:是什么?怎么做?然后进行有条理的学习 是什么? 首先我们要明白SQL注入是什么: sql——结构化查询语言 SQL注入就是在网站url中插入sql语句,执行sql命令,获取数据库内容,达到欺骗服务器的目的。 SQL注入的原理:普通用户提交sql查询 ...
分类:
数据库 时间:
2020-02-09 16:53:40
阅读次数:
129
1.SQL注入 漏洞描述 Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。 修复建议 代码层最佳防御sql漏洞方案:使用 ...
分类:
Web程序 时间:
2020-02-09 16:47:28
阅读次数:
246
ORM模型迁移 迁移命令: 1、makemigrations:将模型生成迁移脚本。模型所在的app,必须放在settings.py中的INSTALLED_APPS中,这个命令有以下几个常用的选项: app_label : 后面可以跟一个或者是多个app,那么就只会针对这几个app生成迁移脚本,如果没 ...
分类:
其他好文 时间:
2020-02-08 11:54:47
阅读次数:
53
mysql查询结果多列拼接查询,主要场景是,列表中其中一列涉及另外一张表的多条数据,但是我只需要多条数据中的其中某一列(主子表场景) 关键字:GROUP_CONCAT sql语句如下: SELECT r.id,b.NAME AS group_name,GROUP_CONCAT( a.`name` ) ...
分类:
数据库 时间:
2020-02-08 10:08:38
阅读次数:
148
一.前台部分 1.列部分需加上 sortable:true ,例如下 2. 发送请求参数中加上排序名称(sortName)和排序方式(sortOrder) 二. 后台部分,正常接收就行,需要注意的是mapper中写sql语句时,参数的传递方式 1.#{} 用于在SQL语句中获取用户传递的参数. 该获 ...
分类:
编程语言 时间:
2020-02-08 00:26:44
阅读次数:
130
