ibatis like 用法,各数据库的安全拼接方法

最新推荐文章于 2024-04-20 16:55:35 发布
最新推荐文章于 2024-04-20 16:55:35 发布
阅读量1.1w 收藏 6
点赞数
分类专栏: Ibatis 文章标签: ibatis 数据库 sqlserver sql mysql oracle

 原文地址:点击打开链接

iBatis解决sql注入

(1) ibatis xml配置:下面的写法只是简单的转义 namelike '%$name$%'

(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'

(3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

(4) 这样参数都会经过预编译,就不会发生sql注入问题了。

(5) #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性,ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx#,ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ibatis 就会把他翻译成 order by topicId

 
SELECT *    FROM   user     WHERE  username  like   '%$ username$ %'   的安全写法

Sql代码

SELECT *           FROM   user           WHERE  username  like   '%'   || #username# ||  '%'   

SELECT * FROM user WHERE username like '%' || #username# || '%' 

       其实上面的语句是针对Oracle 的,对于不同数据字符串连接符不一样。现列举mysql和SQLServer如下:

     

Mysql

Sql代码
SELECT *           FROM   user           WHERE  username  like  CONCAT( '%' , #username#,  '%' )  

SQLServer:

Sql代码
SELECT *           FROM   user           WHERE  username  like   '%'  + #username# +   '%'   

-----------------------------------------------------------------------------------------------------------------------------

      关于数据库字符串连接符简单列举我使用过的一些数据库如下:

OracleSQLServerMysqlDB2
|| 或 CONCAT()+CONCAT()|| 或 CONCAT()

CSDNBenbenChong
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Ibatis结合MySQL数据库的使用方法Demo
03-03
本工程用于研究IbatisMySQL结合使用的方法 本工程编码方式:UTF-8 须执行的SQL语句: CREATE DATABASE `test`; USE `test`; DROP TABLE IF EXISTS `student`; CREATE TABLE `student` ( `id` char(36) NOT NULL...
Spring、Ibatis结合MySQL数据库的使用方法Demo
03-03
本工程用于研究Spring、Ibatis结合MySQL数据库的使用方法 本工程编码方式:UTF-8 须执行的SQL语句: CREATE DATABASE `test`; USE `test`; DROP TABLE IF EXISTS `student`; CREATE TABLE `student` ( `id` char...
ibatis 连接字符串 SqlMapConfig.xml
wuxiubing的专栏
04-21 236
ibatis 连接字符串 SqlMapConfig.xml   下面两个dtd 文件的位置-------在ibatis 的jar 包中,ibatis-2.3.0.677.jar( 不同的版本,文件位置和文件名称有所不同) com.ibatis.sqlmap.engine.builder.xml 包中 修改dtd 文件位置,是为了能提示 原: "http://ibatis.apache.o...
ibatis解决sql注入问题
小白编程
05-28 281
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQ...
ibatis语句拼接
u010227447的专栏
05-30 746
iBatis中联合AND和OR进行查询
鱼与飞鸟
08-31 8059
 在项目中使用条件查询的时候一直都是使用的AND,有一天突然碰到要使用OR的,情况是类似这样的:Where a2 OR b,在iBatis中怎么写呢?我是这么写的:     isNotEmpty prepend="AND" property="a">                    a        ]]>     isNotEmpty>     isNotEmp
[ibatis]动态映射
blueilove2003的专栏
02-15 1467
在复杂查询过程中,我们常常需要根据用户的选择决定查询条件,这里发生变化的并不只是SQL 中的参数,包括Select 语句中所包括的字段和限定条件,都可能发生变化。典型情况,如在一个复杂的组合查询页面,我们必须根据用户的选择和输入决定查询的条件组合。一个典型的页面如下:对于这个组合查询页面,根据用户选择填写的内容,我们应为其生成不同的查询语句。如用户没有填写任何信息即提交查询请求,我们应
ibatis根据ArrayList中的数据,取得表中某个字段,并且拼接成一个字符串
wanghl_的博客
05-13 272
select listagg(name,',') within group(order by a.id) from 目标表明 a where 1=1 <iterate prepend="and" open="(" close=")" conjunction="or"> a.id = #rangeList[]# <!-- rangeList是调用方法处传的参数,这里用时,后边要加上[] --> </ite...
Spring数据库访问之iBatis
03-04
为了丰富博客专栏【Spring数据库访问系列】的内容,完善Spring数据库访问的体系,现在我们介绍Spring对iBatis的支持。相对于Hibernate等ORM框架的全自动SQL,那么iBatis则属于半自动化的ORM框架,我们需要编写SQL...
Java封装ibatis操作数据库.rar
03-25
Ibatis底层操作数据库做了DAO层封装
ibatis拼接字符串
08-20
ibatis 拼接字符串
java spring boot ibatis自动访问数据库.zip
09-27
在spring boot下使用ibatis时,经常要写一堆mapper的java文件和xml文件,需要写sql,这个组件提供了不需要写mapper和xml文件,也不需要写sql就可以对数据库就像读写,只需要写一个跟表对应的model实体类就可以了,...
oracle-ibatis like 用法,各数据库安全拼接方法
indieinside的专栏
08-13 2220
原文地址:点击打开链接 iBatis解决sql注入 (1) ibatis xml配置:下面的写法只是简单的转义 namelike '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%' (3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'
ibatis中的like语句的写法
大树下那片阴凉
10-28 4722
 网上搜了一下ibatis的关于like的使用select * from USERS where USER_NAME like %wang%;这种like语句在ibatis中怎么写,项目是用ibatis作为持久层的框架。select * from t_stu where s_name like #name#这样写显然不行在调用中需要在参数的前后加上%,比如这样: return sq
Mybatis中oraclemysql、db2、sql server的like模糊查询
明明如月的技术博客
03-10 976
select id="searchUserBySearchName" parameterType="java.lang.String" resultType="com.urm.entity.User"> select * from t_user where user_name like CONCAT('%',#{search_name},'%') select> select id="sea
JAVA执行mysql脚本和mysql相关命令(alter table示例/多表更新/Insert Into Select/多表查询) 及ibatis模糊查询(concat用法)
mike_caoyong的专栏
04-26 4907
MYSQL常用命令列表   11
mysql和Nosql到底有什么区别,分别应用与什么场景?
最新发布
m0_60388871的博客
04-20 715
MySQL 和 NoSQL 是两种不同类型的数据库技术,它们各有其特点和适用场景。了解它们之间的区别和应用场景可以帮助选择合适的技术来支持特定的应用需求。
ibatis如何修改数据库中的序列
07-11
具体的语法和方法取决于您使用的数据库类型。 例如,对于 PostgreSQL 数据库,可以使用以下 SQL 语句来修改序列: ```sql ALTER SEQUENCE sequence_name START WITH new_start_value; ALTER SEQUENCE sequence_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值