模糊查询LIKE语句的SQL注入预防
来源:互联网 发布:玄空排盘软件手机版 编辑:程序博客网 时间:2024/06/02 01:58
一、在iBatis或者myBatis模糊查询的LIKE语句避免采用如下写法,否则会导致SQL注入;
如上SQL语句,如果用户输入:%' AND 2498=2498 AND '%'=',会构成如下SQL,精简后如下,是能正确返回记录的,即存在SQL注入:
二、解决办法:
1、尽量避免采用$的方式,$会导致SQL注入,LIKE '%$institutionName$%' 和 LIKE concat('%',$institutionName$,'%') 都会导致SQL注入;
2、尽量采用#的方式,#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号;更详细的可以查看$和#的区别;
3、对于例子中的模糊查询,可以用#结合concat函数,即修改为LIKE concat('%',#institutionName#,'%');也可以
可以将LIKE '%${Name}%'修改为LIKE '%'||#{Name}||'%'
4、以上只是编码LIKE语句的SQL注入防范,实际中需要对用户输入进行过滤处理;
阅读全文
0 0
- 模糊查询LIKE语句的SQL注入预防
- 模糊查询LIKE语句的SQL注入预防
- sql语句模糊查询like的用法
- SQL模糊查询语句(like)
- ibatis模糊查询的like '%$name$%'的sql注入避免
- mybatis like %% 模糊查询防sql 注入
- 写sql语句,模糊查询:instr ----like
- SQL中LIKE模糊查询LIKE关键字匹配语句
- SQL like 模糊查询
- SQL like 模糊查询
- SQL like 模糊查询
- SQL like 模糊查询
- SQL like模糊查询
- SQL like 模糊查询
- SQL like 模糊查询
- SQL like 模糊查询
- SQL like模糊查询
- hibernate 防sql注入模糊查询(like).
- 音频压缩工具——Speex的使用
- 【机器学习 sklearn 】朴素贝叶斯naive_bayes
- 前端单选框、单选按钮、下拉列表多条件过滤数据
- struts2异步请求
- GIT学习笔记
- 模糊查询LIKE语句的SQL注入预防
- 最优化算法基础
- Linux Shell 命令大全
- Spring AOP 对Spring MVC的Controller切面拦截不起作用
- 基于zookeeper实现分布式锁
- EhCache spring
- 程序员面试、算法研究、编程艺术、红黑树、机器学习5大系列集锦
- 123
- synchronized关键字