iBatis解决自动防止sql注入

               

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ;

(1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'
 
(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'
 
(3) 解决方法是利用字符串连接的方式来构成sql语句name like '%'||'#name#'||'%'
 
(4) 这样参数都会经过预编译,就不会发生sql注入问题了。
 
(5)#与$区别:
 
$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如order by topicId , 语句这样写... order by #xxx# ibatis 就会把他翻译成order by 'topicId' (这样就会报错) 语句这样写... order by $xxx$ ibatis 就会把他翻译成order by topicId

 

 

假设用户执行

 
select * from product where id = 5 
 
这条语句。其中5是有用户输入的。
 
SQL注入的含义就是,一些捣蛋用户输入的不是5,而是
 
 
 
5;  delete  from  orders
 
 
 
那么原来的SQL语句将会变为,
 
 
select * from product where id=5;  delete  from  orders 
.
 
在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。
 
 
 
不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement
s )。
 
上述语句会被编译为,
 
 
select * from product where id=? 
 
从而有效防止SQL注入。
 
 
 
不过当你使用$占位符时就要注意了。
 
例如:动态的选择列和表
 
 
SELECT * FROM $TABLE_NAME$ WHERE $COLUMN_NAME$ = #value# 
 
这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。
 

 

           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值