关闭

ibatis like防注入

539人阅读 评论(0) 收藏 举报
分类:
ibatis sqlmap中已经对#param#参数作了防注入处理,但没有对$param$作处理,将like后面的参数作如下修改即可防止注入:
 
mysql: select * from test where name like concat('%',#name#,'%')     
    
oracle: select * from test where name like '%'||#name#||'%'    
    
SQL Server:select * from test where name like '%'+#name #+'%   
0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:11644次
    • 积分:204
    • 等级:
    • 排名:千里之外
    • 原创:9篇
    • 转载:6篇
    • 译文:0篇
    • 评论:0条