当前位置 : 主页 > 编程语言 > c语言 >

iBatis解决sql注入问题的方法

来源:互联网 收集:自由互联 发布时间:2023-09-06
类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的 isNotEmpty prepend="AND" property="name" name like #name# /isNotEmpty 但是它跟 isNotEmpty prepend="AND" property="name" name = #name# /isNotEmpty 没有


类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的

<isNotEmpty prepend="AND" property="name"> 
      name like #name#
   </isNotEmpty>


但是它跟

<isNotEmpty prepend="AND" property="name"> 
      name = #name#
   </isNotEmpty>

没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:

<isNotEmpty prepend="AND" property="name"> 
      name like '%$name$%'
</isNotEmpty>

但这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:

name like '%'%'

这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,如下:

<isNotEmpty prepend="AND" property="name"> 
      name like '%'||'#name#'||'%'
   </isNotEmpty>

(“||”是Oracle中连接字符串的方法,MSSQL中是用加号,MySQL中是用CONCAT)

这样参数都会经过预编译,就不会发生sql注入问题了。

----------------------

对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。

例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。

对于like语句,难免要使用$写法,

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

'%'+#param#+'% 。 

 

如下3种SQL语句:

 

1. mysql: select * from t_user where name like concat('%',#name #,'%')    
2.    
3. oracle: select * from t_user where name like '%'||#name #||'%'   
4.    
5. SQL Server:select * from t_user where name like '%'+#name #+'%
【文章原创作者:日本多ip站群服务器 http://www.558idc.com/japzq.html欢迎留下您的宝贵建议】
上一篇:C++ cstdlib – 概览
下一篇:没有了
网友评论