ibatis like mysql_【转】ibatis like 用法,各数据库的安全拼接方法

于 2021-01-19 12:20:33 发布
阅读量147 收藏
点赞数
文章标签: ibatis like mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33630090/article/details/113238864
版权

iBatis解决sql注入

(1) ibatis xml配置:下面的写法只是简单的转义 namelike '%$name$%'

(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'

(3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

(4) 这样参数都会经过预编译,就不会发生sql注入问题了。

(5) #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性,ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx#,ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ibatis 就会把他翻译成 order by topicId

SELECT*FROMuserWHEREusernamelike'%$username$%'的安全写法

Sql代码

SELECT*FROMuserWHEREusernamelike'%'|| #username# ||'%'

SELECT * FROM user WHERE username like '%' || #username# || '%'

其实上面的语句是针对Oracle 的,对于不同数据字符串连接符不一样。现列举mysql和SQLServer如下:

Mysql:

Sql代码

SELECT*FROMuserWHEREusernamelikeCONCAT('%', #username#,'%')

SQLServer:

Sql代码

SELECT*FROMuserWHEREusernamelike'%'+ #username# +'%'

-----------------------------------------------------------------------------------------------------------------------------

关于数据库字符串连接符简单列举我使用过的一些数据库如下:

Oracle

SQLServer

Mysql

DB2

|| 或 CONCAT()

+

CONCAT()

|| 或 CONCAT()

转自:http://blog.csdn.net/csdnbenbenchong/article/details/7105939

Hvyntivka Mosina
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ibatis拼接字符串
08-20
ibatis 拼接字符串
ibatis动态sql拼接
09-12
动态sql拼接
ibatis中使用like模糊查询
weixin_33811539的博客
11-22 153
无效的方法: select * from table1 where name like '%#name#%' 两种有效的方法: 1) 使用$代替#。此种方法就是去掉了类型检查,使用字符串连接,不过可能会有sql注入风险。 select * from table1 where name like '%$name$%' 2) 使用连接符。不过不同的数据库中方式不同。...
iBatis 中 Like '%iBatis%' 的写法实现模糊查询
helloaq
08-19 289
摘自:http://hi.baidu.com/edmond80/blog/item/44b31afa42aef18b9f51467e.html   iBatis 开发指南告诉我们,当 Person 对象的 name 属性不为 null 时启用 name 查询条件在映射文件 person.xml 中的配置为 <select id="getPersonsByName" resultClass=...
ibatis模糊查询(like)
幸福小猪的专栏
02-15 606
iBatis 开发指南告诉我们,当 Person 对象的 name 属性不为 null 时启用 name 查询条件在映射文件 person.xml 中的配置为 select id="getPersonsByName" resultClass="com.unmi.Person"> select id as id,name as name,passwd as passw
iBatis_Demo.rar_ibaties demo_ibatis de_ibatis mysql demo_ibati
09-23
通过这个"Ibatis_Demo"项目,初学者可以了解到iBatis的基本用法,如何配置数据库连接,编写Mapper接口和XML,以及如何在实际项目中使用这些组件进行数据操作。这将为后续深入学习和使用iBatis奠定基础。
iBATIS_API_DOC.rar_doc_ibatis a_ibatis api_ibatis d
09-23
这个文档集,"iBATIS_API_DOC.rar_doc_ibatis a_ibatis api_ibatis d",显然是关于iBATIS API的详细文档,旨在帮助开发者更好地理解和使用iBATIS框架。 首先,让我们深入理解iBATIS的核心概念: 1. SQL Maps:...
iBATIS_DBL-2.2.0.638.zip_iBATIS_DBL_ibatis_ibatis 2_ibatis2 src_
09-23
iBATIS_DBL-2.2.0.638.zip 是一个包含了iBATIS数据库层(DBL)2.2.0.638版本的源代码包,专为Java开发者设计。iBatis是一个优秀的持久层框架,它允许开发者将SQL与Java代码分离,从而简化了数据库操作。这个压缩包...
iBATIS-DAO-2.3.4.726.rar_com.ibatis.dao_iBATIS dao 2_iBatis DAO_
09-20
通过阅读和理解源码,开发者不仅能掌握iBATIS DAO的基本使用,还能深入了解其内部实现,提升数据库操作的技巧和优化能力。同时,添加注释的过程也是深化理解的好方法,有助于在实际项目中更高效地应用iBATIS框架。
ssi.rar_ibatis_ibatis struts2_java ssi_myeclipse ssi_struts2
09-19
标题中的"ssi.rar_ibatis_ibatis_struts2_java ssi_myeclipse ssi_struts2"揭示了这个压缩包文件包含的内容,主要涉及到SSI(Server Side Include)技术、MyEclipse开发环境、以及三大框架——Struts2、Spring和...
ibatis 连接字符串 SqlMapConfig.xml
03-22
NULL 博文链接:https://wuxiubing.iteye.com/blog/1010635
Ibatis之LIKE用法
fjun0910的专栏
01-10 477
<br />﹤!--  模糊查询不能用#,#在是用prepareStatement的?插入参数,$是文本替换  --﹥   <br />         note like '%$note$%' <br /><br />其他用法:<br /><br />SELECT *   <br />      FROM user  <br />      WHERE username like '%'  || #username# || '%'  <br /><br />       其实上面的语句是正对Oracle
ibatis的模糊查询 like
一生相守。可否?
11-25 106
[code="java"] UserName like '%$userName$%' [/code] 上面那种写法会被SQL注入,对于MYSQL来说,一次只能执行一条语句,要注入将整表删除还不行.防注入要在写法上做下小改动,MYSQL写法如下: [code="java"] UserName like concat('%',#userNam...
ibatis配置中like的写法
hellohubin的专栏
05-17 690
ibatis配置中like的写法 (2012-01-29 15:57:37) 载▼ 标签: ibatis、like 分类: java &lt;!-- 正文开始 --&gt; iBATIS教程之like语句的使用我们可以先看看网上搜了一下iBATIS的关于like的使用select * from USERS where USER_NAME like...
ibatis的关于like的使用
lanmh的专栏
01-23 141
网上搜了一下ibatis的关于like的使用,相信看到这篇文章的XDJM也应该知道如何解决了 ,我在这里就不重复了,只想补充说明一下:       撇开 '%$xxx$%' 不讲。网上的解决方法如下:       SELECT *       FROM user       WHERE username like '%'  || #username# || '%'        其实上面...
ibatis like 用法
siashuayongsheng的专栏
08-14 138
[code="java"] mysql: select * from tbl_school where school_name like concat('%',#name#,'%') oracle: select * from tbl_school where school_name like '%'||#name#||'%' sql server:se...
ibatis中的like语句的写法
大树下那片阴凉
10-28 4766
 网上搜了一下ibatis的关于like的使用select * from USERS where USER_NAME like %wang%;这种like语句在ibatis中怎么写,项目是用ibatis作为持久层的框架。select * from t_stu where s_name like #name#这样写显然不行在调用中需要在参数的前后加上%,比如这样: return sq
iBATIS date MySQL_timestamp,datetime数据类型在ibatis
最新发布
05-17
iBATIS 中,可以使用 Java 中的 java.util.Date 或 java.sql.Timestamp 类型来映射 MySQL 中的 DATETIME 或 TIMESTAMP 数据类型。 在映射文件中,可以使用如下的配置: ```xml ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值