myBatis的SQL注入问题
来源:互联网 发布:成都正规java培训机构 编辑:程序博客网 时间:2024/04/30 17:04
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。
1、 正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但一定注意这些参数一定不能是用户输入的。
2、 错误使用$示例:URL LIKE '%$URL$%',比如参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,此处应该改为: URL LIKE '%’||#URL#||’%'。
3、 错误的使用$一般都出现在 like后面,可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# , $%替换为#||’%。
综上:
对于like语句,难免要使用$写法,
1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
3. MSSQL中通过'%'+#param#+'% 。
如下3种SQL语句:
1
2
3
mysql: select * from t_user where name like concat(
'%'
,#name #,
'%'
)
oracle: select * from t_user where name like
'%'
||#name #||
'%'
SQL Server:select * from t_user where name like
'%'
+#name #+'%
0 0
- myBatis的SQL注入问题
- myBatis的SQL注入问题
- mybatis的sql注入问题
- mybatis解决sql注入问题
- mybatis的SQL注入研究
- sql注入的问题
- SQL注入的问题
- mybatis 防止sql注入的原理
- mybatis是如何防止SQL注入的
- mybatis是如何防止SQL注入的
- mybatis防止sql注入
- mybatis防止sql注入
- mybatis防止sql注入
- mybatis防止sql注入
- MyBatis防止sql注入
- mybatis防止sql注入
- mybatis防止sql注入
- mybatis防止sql注入
- Spring 事务机制详解
- 第12周项目4-圆与点的关系
- javascript基础
- 无废话WCF入门教程三[WCF的宿主]
- 队列(三):链式存储队列
- myBatis的SQL注入问题
- 无废话WCF入门教程四[WCF的配置文件]
- C语言高级语法概述笔记
- Css浮动
- 无废话WCF入门教程五[WCF的通信模式]
- perl函数substr
- Activity的四种加载模式
- Manacher算法:求解最长回文字符串,时间复杂度为O(N)
- INI文件操作