防止SQL注入 iBatis模糊查询

最新推荐文章于 2023-06-12 11:15:09 发布
最新推荐文章于 2023-06-12 11:15:09 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: ibatis sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mydwr/article/details/10380241
版权

ibatis模糊查询的like '%$name$%'的sql注入避免。

在用ibatis进行模糊查询的时候很多同学习惯用like'%$name$%'的方式,其实这种方式会造成sql注入。ibatis对于$符号的处理是默认不加’‘号的,所以如果传入的参数是:

1'或者是1231%'or 1%' = '1这些形式就回造成注入危险。

解决是避免用like '%$name$%',可以进行字符的拼接进行规避,比如oracle:like'%'||#name#||'%';mysql:likeconcat('%',#name#,'%');


为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。

  
  
  1. mysql: select * from stu where name like concat('%',#name #,'%')  
  2.  
  3. oracle: select * from stu where name like '%'||#name #||'%' 
  4.  
  5. SQL Server:select * from stu where name like '%'+#name #+'%   

Mydwr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
iBATIS模糊查询
07-23
iBATIS模糊查询
Mybatis中会引起sql注入风险的问题
最新发布
flytalei的博客
06-12 1988
该风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
ibatis防止sql注入
liuxigiant的专栏
10-10 3096
本文转载自:          http://blog.csdn.net/scorpio3k/article/details/7610973         http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html
使用IBATIS防止sql注入
浮生若梦
08-26 414
           对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。         对于like语句,难免要使用$写法,         1. 对于Oracle可以通过'%'||'...
iBatis解决自动防止sql注入
热门推荐
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
ibatis模糊查询的like '%$name$%'的sql注入避免
maidou_2011的专栏
09-27 9484
ibatis模糊查询的like '%$name$%'的sql注入避免。 在用ibatis进行模糊查询的时候很多同学习惯用like '%$name$%'的方式,其实这种方式会造成sql注入ibatis对于$符号的处理是默认不加’‘号的,所以如果传入的参数是: 1'或者是1231%' or 1%' = '1这些形式就回造成注入危险。 解决是避免用like '%$name$%',可以进行字符的拼
sqlserver Ibatis XML自动生成工具
11-19
sqlserver Ibatis XML自动生成工具,本人正在使用的工具;下载后配置XML数据库连接和用户名密码,输入表名即可生成
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
SQL&Ibatis学习.ppt
10-12
sql讲解详细、实用、有用例、带源码。
spring mvc 自动注入+dwr
09-05
spring mvc + 自动注入 + dwr例子
登陆(防止Sql注入漏洞)的源代码
08-13
登陆(防止Sql注入漏洞)的源代码 用参数从而防止Sql注入的漏洞攻击 提高安全性
ibatis解决sql注入问题
小白编程
05-28 282
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQ...
模糊查询 防止SQL注入
maihoney的专栏
06-22 858
为了防止SQL注入iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
Struts2学习4——防sql注入过滤器
编程圈子-谢厂节的博客
06-05 4199
web.xml <!-- sql Filter --> <filter> <filter-name>SqlFilter</filter-name> <filter-class>Utils.SqlFilter</filter-class> </filter> <filter-mapping> <filter-name>Sq
springboot+mybatis如何防止sql注入
05-26
在 Spring Boot + Mybatis 中,防止 SQL 注入的方法如下: 1. 使用预编译语句 在 Mybatis 中,可以使用 #{} 作为占位符,Mybatis 会自动将其转换为预编译语句中的 ?,这样能够防止 SQL 注入攻击。 例如: ``` @...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mydwr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值