您的位置:首页 > 数据库

ibatis解决sql注入问题 .

2012-12-02 13:50 183 查看
最近看看了SQL注入的问题,这篇文章解决了ibatis如何防sql注入攻击,值得参考,转自/article/2589800.html

对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。

例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。

对于like语句,难免要使用$写法,

1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

3. MSSQL中通过'%'+#param#+'% 。

如下3种SQL语句:

[html]
view plaincopyprint?

mysql: select * from t_user where name like concat('%',#name #,'%')

oracle: select * from t_user where name like '%'||#name #||'%'

SQL Server:select * from t_user where name like '%'+#name #+'%

mysql: select * from t_user where name like concat('%',#name #,'%')

oracle: select * from t_user where name like '%'||#name #||'%'

SQL Server:select * from t_user where name like '%'+#name #+'%
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐
新的分享
章节导航