myBatis的SQL注入问题
2015-09-09 15:20
369 查看
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。1、 正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但一定注意这些参数一定不能是用户输入的。2、 错误使用$示例:URL LIKE '%$URL$%',比如参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,此处应该改为: URL LIKE '%’||#URL#||’%'。3、 错误的使用$一般都出现在 like后面,可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# , $%替换为#||’%。 综上:对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免; 3. MSSQL中通过'%'+#param#+'% 。 如下3种SQL语句:?
相关文章推荐
- MongoDB学习日记(二):MongoDB的简介
- redis的使用
- 将mysql数据导入redis
- SQLServer版本号
- NodeJs连接Oracle数据库
- 数据库系统的工作流程
- CentOS 6 下启动ORACLE 11gR2
- Oracle语句优化之一
- 常用SQL语句(Mysql)总结
- Memcached性能检测
- 通过分区(Partition)提升MySQL性能
- mysql的分区
- Mysql基础总结
- Spark入门实战系列--6.SparkSQL(下)--Spark实战应用
- mongoDB命令
- 命中率问题:memcached server LRU 深入分析
- memcached命令
- Spark入门实战系列--6.SparkSQL(中)--深入了解SparkSQL运行计划及调优
- Spark入门实战系列--6.SparkSQL(上)--SparkSQL简介
- Java mongodb 基本操作入门