使用druid连接池,配置sql防火墙发现的sql注入问题
来源:互联网 发布:ncbi下载基因组数据 编辑:程序博客网 时间:2024/05/24 05:17
最近在使用druid连接池,同时也配置了web和spring的关联监控,检测到select * from tables param like #{param1} “%”的语句被拦截了。做个笔记。
解决方法有两种:
一、 select * from tables param like concat(${param1},”%”)。
二、传入 参数的时候动态拼接 param1=param1+”%”;
select * from tables param like #{param1}。
Mybatis3 防止SQL注入
#{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全;
${xxx},使用字符串拼接,可以SQL注入;
like查询不小心会有漏动,正确写法如下:
Mysql: select * from tables where param like concat(‘%’, #{param1}, ‘%’)
Oracle: select * from t_user where param like ‘%’ || #{param1} || ‘%’
SQLServer: select * from t_user where param like ‘%’ + #{param1} + ‘%’
0 0
- 使用druid连接池,配置sql防火墙发现的sql注入问题
- druid监控配置及sql注入防火墙配置
- mybatis使用spring-druid数据源连接池配置log4j打印sql语句以及开启监控平台
- 使用Druid对SQL执行情况进行监控,以及SQL注入等的检查
- 配置Windows 防火墙,允许SQL Server的远程连接
- Druid连接池 慢SQL日志记录
- Druid连接池 慢SQL日志记录
- druid连接池配置Druid
- SqlParameter使用(涉及到SQL的注入问题)
- sql注入的问题
- SQL注入的问题
- 使用ADO连接到防火墙后的SQL Server
- 使用ADO连接到防火墙后的SQL Server
- druid连接池的使用。
- DRUID连接池的使用
- DRUID连接池的使用
- DRUID连接池的使用
- DRUID连接池的使用
- PAT 1026. Table Tennis (30)
- I学霸官方免费教程四十 :Java基础教程之线程同步
- Picked up JAVA_TOOL_OPTIONS: -javaagent:/usr/share/java/jayatanaag.jar
- UVA - 10305 - Ordering Tasks(拓扑排序)
- 黑马程序员——OC笔记之内存管理
- 使用druid连接池,配置sql防火墙发现的sql注入问题
- 二叉树的层次非递归遍历运用队列
- 适配器模式
- Rotate List
- 火云开发课堂 - 《使用Cocos2d-x 开发3D游戏》系列 第一节:3D时代来临!
- Linux chmod +755和chmod +777 各是什么意思呢?
- /dev/mem可没那么简单
- HTML 相对路径表示方法
- 设置应用程序的图标(Setting the Application Icon)— Mac OS X