ibatis解决sql注入问题 .

最近看看了SQL注入的问题，这篇文章解决了ibatis如何防sql注入攻击，值得参考，转自http://blog.csdn.net/scorpio3k/article/details/7610973

 

 

对于ibaits参数引用可以使用#和$两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会出现注入问题；如果采用$写法，则相当于拼接字符串，会出现注入问题。

例如，如果属性值为“' or '1'='1 ”，采用#写法没有问题，采用$写法就会有问题。

对于like语句，难免要使用$写法，

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免；

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免；

 3. MSSQL中通过'%'+#param#+'% 。 

 

如下3种SQL语句：

[html] view plaincopyprint?

mysql: select * from t_user where name like concat('%',#name #,'%')    

   

oracle: select * from t_user where name like '%'||#name #||'%'   

   

SQL Server:select * from t_user where name like '%'+#name #+'%     

mysql: select * from t_user where name like concat('%',#name #,'%') oracle: select * from t_user where name like '%'||#name #||'%' SQL Server:select * from t_user where name like '%'+#name #+'%

总结

以上是生活随笔为你收集整理的ibatis解决sql注入问题 .的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。