为了防止SQL注入,iBatis模糊查询时也要避免使用$$('%$title$%' )来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。
mysql: select * from stu where name like concat('%',#name #,'%')
oracle: select * from stu where name like '%'||#name #||'%'
SQL Server:select * from stu where name like '%'+#name #+'%
-----------------------------------------------------------
UnSafeBean b = (UnSafeBean)sqlMap.queryForObject(”value”, request.getParameter(”name”));
漏洞1 说明:
其中sqlmap方式是把$*$ 替换,假设用户输入 ‘;drop table admin–
那么翻译为本地SQL为
select * from table where name like ‘%’;drop table admin–%’
修补方法:
采用 #*# 的方式 sqlmap是采用预编译方式处理
把转义操作交给数据库本身!
------------------------------------------------------------------------------------------