通过ibatis解决sql注入问题

通过ibatis解决sql注入问题

于ibaits参数引用可以使用#和两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会http://出现注入问题；如果采用两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会出现注入问题；如果采用写法，则相当于拼接字符串，会出现注入问题。

例如，如果属性值为“' or '1'='1 ”，采用#写法没有问题，采用写法就会有问题。对于语句，难免要使用写法就会有问题。对于like语句，难免要使用写法，

1. 对于Oracle可以通过'%'||'#param#'||'%'避免；

2. 对于mysql可以通过CONCAT('%',#param#,'%')避免；

3. MSSQL中通过'%'+#param#+'% 。

mysql: select * from t_user where name like concat('%',#name #,'%')

oracle: select * from t_user where name like '%'||#name #||'%'

SQL Server:select * from t_user where name like '%'+#name #+'%

总结

以上所述是给大家介绍的通过ibatis解决sql注入问题，希望对大家有所帮助，如果大家有任何疑问请给我留言，会及时回复大家的。在此也非常感谢大家对我们网站的支持！

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。