iBatis解决sql注入问题的方法

最新推荐文章于 2018-07-03 12:04:32 发布
最新推荐文章于 2018-07-03 12:04:32 发布
阅读量1.1k 收藏
点赞数
分类专栏: 技术 文章标签: sql ibatis oracle mysql


类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的
   <isNotEmpty prepend="AND" property="name"> 
      name like #name#
   </isNotEmpty> 
但是它跟
   <isNotEmpty prepend="AND" property="name"> 
      name = #name#
   </isNotEmpty>

没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:

<isNotEmpty prepend="AND" property="name"> 
      name like '%$name$%'
</isNotEmpty>

但这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:

name like '%'%'

这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,如下:

<isNotEmpty prepend="AND" property="name"> 
      name like '%'||'#name#'||'%'
   </isNotEmpty>

(“||”是Oracle中连接字符串的方法,MSSQL中是用加号,MySQL中是用CONCAT)

这样参数都会经过预编译,就不会发生sql注入问题了。


原文出处:http://hi.baidu.com/uponcen/item/be9224d0cc6a5d15d80e4433

年华似水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis如何防SQL注入
LAKERSAI的博客
08-15 391
MyBatis如何防SQL注入: 这一节来讲下MyBatis的防SQL注入SQL注入大多数也会比较清楚,就是SQL参数对应的字段值时插入混合SQL,如 ** username = or 1= 1** 这种,如果有更恶劣的,带上drop database 这种都是有可能的,所以一般SQL都会进行一定防注入处理,MyBatis其实用法大都清楚,就是**#{paras}和${paras}**两种...
关于ibatisSQL注入
sun0322
12-13 785
<br />使用'$userId$'很有可能造成SQL注入问题,因为原理是替换里面的内容。<br /> <br />而使用#userId#则不会出现问题,这种方式是预编译,和JDBC的PreparedStatem差不多,可以避免SQL注入问题
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
iBatisSQL注入问题
lc893572812的专栏
11-03 1325
sqlMap尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的
ibatis常见问题
Simple life
05-18 5687
1、自增主键。 比如表 table1 列id为主键,且自增,那么插入记录的时候SQL怎么写?       INSERT INTO riskm_catalog( id, title)  VALUES ( #id#, #title#)                  SELECT LAST_INSERT_ID() AS value
寻找sql注入的网站的方法(必看)
01-21
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
iBatis习惯用的16条SQL语句
09-01
iBatis默认使用PreparedStatement,有效防止SQL注入,并提高执行效率。 11. **分页查询** 可以通过自定义插件或使用第三方库如PageHelper实现分页查询。 12. **自定义SQL语句** iBatis允许用户自定义SQL、存储...
ASP.NET MVC+iBatis+SQL
09-11
3. **参数绑定**:在iBatis映射文件,可以使用占位符绑定动态参数,实现SQL语句的参数化,提高安全性并防止SQL注入。 综上所述,这个项目演示了如何结合ASP.NET MVC、iBatisSQL来构建一个简单的Web应用程序。...
iBATIS-SqlMaps-2_cn.rar_ibatis/spring
最新发布
09-23
这个压缩包包含了一个PDF文档,即《iBATIS-SqlMaps-2_cn.pdf》,它是iBATIS SQL Maps 2的文版指南,详细讲解了如何利用iBATIS进行数据库操作,并阐述了与Spring框架的整合方法iBATIS,全称为“Interactive ...
ibatis关于单引号问题
01-15 495
ibatis关于单引号问题 sql的最后一个条件是 area in ('XX1','XX2');由于地区的多少不固定,是根据权限找到的,我单独写了个方法将取出来的地区名变成了'XX1','XX2'这样的形式,但是如果作为参数进入ibatis就肯定会报错了String area = "'XX1','XX2'"ibatis里面是#area:VARCHAR2# 修改为...
myibatis 单引号问题解决
一点关于java方面的知识。
09-02 856
#{orgs} 改为 ${orgs} 就可以了,myibatis就不会在加引号。
iBatis防止SQL注入
岁寒松柏
10-25 774
为了防止SQL注入iBatis模糊查询时也要避免使用$$('%$title$%' )来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。    mysql: select * from stu where name like concat('%',#name #,'%')    oracle: select * from stu where name like '
mybatis动态SQL防止SQL注入
热门推荐
daydayupzzc的专栏
07-03 1万+
IvrNodeTreeMapper.java如下:package com.example.springbootannotationmybatis.mapper; import com.example.springbootannotationmybatis.domain.IvrNodeTree; import com.example.springbootannotationmybatis.sql...
ibatis防止sql注入
liuxigiant的专栏
10-10 3122
本文转载自:          http://blog.csdn.net/scorpio3k/article/details/7610973         http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html
ibatis解决sql注入问题
小白编程
05-28 286
对于ibaits参数引用可以使用#和$两种写法,其#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。 对于like语句,难免要使用$写法, 1. 对于Oracle可以通过'%'||'#param#'||'%'避免; 2. 对于MySQ...
iBatis解决自动防止sql注入
cnbird's blog
04-16 1万+
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; (1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'   (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name
iBatis解决sql注入
Hello World
04-28 1040
http://www.blogjava.net/cannysquirrel/archive/2010/11/26/339146.html iBatis解决sql注入 (1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%' (2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:na
“Fortify代码审查工具安全问题解决方法SQL注入解决方法
在使用iBatis Data Map时,如果不对输入数据进行严格处理,就有可能导致SQL注入漏洞。 #### 解决方法 - 避免使用动态拼接SQL语句,尽量使用参数化查询。 - 对输入数据进行严格过滤和验证,避免直接将用户输入作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值