iBatis的SQL注入
2024-09-25 08:24:26
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。
1、 正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但一定注意这些参数一定不能是用户输入的。
2、 错误使用$示例:URL LIKE '%$URL$%',比如参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,此处应该改为: URL LIKE '%’||#URL#||’%'。
3、 错误的使用$一般都出现在 like后面,可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# , $%替换为#||’%。
综上:
对于like语句,难免要使用$写法,
1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
3. MSSQL中通过'%'+#param#+'% 。
如下3种SQL语句:
- mysql: select * from t_user where name like concat('%',#name #,'%')
- oracle: select * from t_user where name like '%'||#name #||'%'
- SQL Server:select * from t_user where name like '%'+#name #+'%
最新文章
- .NET正则表达式基础入门(三)
- linux 2.6 驱动笔记(三)
- 【原创】NIO框架入门(三):iOS与MINA2、Netty4的跨平台UDP双向通信实战
- 深入理解HTML表格
- PL/0编译器(java version) – SymbolTable.java
- 2016HUAS暑假集训训练2 E - I Hate It
- C#基础知识系列三(类和结构体、String和StringBuilder、equals和==)
- Hdu 1429 胜利大逃亡(续) 分类: Brush Mode 2014-08-07 17:01 92人阅读 评论(0) 收藏
- C++ STL stack和queue
- ubuntu 实现界面切换
- 几款实力很强的小工具,提高Windows使用效率
- Protostuff序列化分析
- PTA第二次作业
- Java提高班(二)深入理解线程池ThreadPool
- 设置eclipse联想功能
- trap(陷井)
- ios三张图片组合一张
- 关于gcc编译器中函数不用进行原型声明的解释
- webstorm配置babel自动转译es6的方法
- crm2013js弹出窗口