ibatis解决sql注入问题
2012-05-28 23:11
232 查看
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。
例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。
对于like语句,难免要使用$写法,
1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
3. MSSQL中通过'%'+#param#+'% 。
如下3种SQL语句:
例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。
对于like语句,难免要使用$写法,
1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
3. MSSQL中通过'%'+#param#+'% 。
如下3种SQL语句:
mysql: select * from t_user where name like concat('%',#name #,'%') oracle: select * from t_user where name like '%'||#name #||'%' SQL Server:select * from t_user where name like '%'+#name #+'%
相关文章推荐
- 通过ibatis解决sql注入问题
- ibatis解决sql注入问题
- ibatis解决sql注入问题
- (转载)ibatis:解决sql注入问题
- ibatis解决sql注入问题 .
- ibatis解决sql注入问题 .
- ibatis解决sql注入问题
- ibatis解决sql注入问题
- iBatis解决sql注入问题的方法
- ibatis解决sql注入问题
- JDBC学习笔记(6):PreparedStatement解决SQL注入问题
- iBatis解决sql注入
- JDCB学习笔记 -- day05 实现一个用户的登录功能及解决SQL注入问题
- SQL注入问题及解决
- sql注入问题解决——PrepareStatement
- HP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
- 关于org.apache.ibatis.binding.BindingException: Invalid bound statement (not found),找不到mapper文件问题解决
- 实践中遇到Ibatis和spring整合事务不回滚的问题解决
- PreparedStatement解决sql注入问题
- iBatis解决sql注入