myBatis的SQL注入问题
sqlMap中尽可能不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(相似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,因此ibatis推荐使用#。java
一、 正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但必定注意这些参数必定不能是用户输入的。mysql
二、 错误使用$示例:URL LIKE '%$URL$%',好比参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样确定是会报错的,解决方法是利用字符串链接的方式来构成sql语句,此处应该改成: URL LIKE '%’||#URL#||’%'。sql
三、 错误的使用$通常都出如今 like后面,能够搜索 %$ 或者 $%。修改方法比较简单直接替换便可。%$替换为 %’||# , $%替换为#||’%。数据库
综上:安全
对于like语句,不免要使用$写法,oracle
1. 对于Oracle能够经过'%'||'#param#'||'%'避免;spa
2. 对于MySQL能够经过CONCAT('%',#param#,'%')避免;code
3. MSSQL中经过'%'+#param#+'% 。 orm
以下3种SQL语句:字符串
mysql: select * from t_user where name like concat('%',#name #,'%')
oracle: select * from t_user where name like '%'||#name #||'%'
SQL Server:select * from t_user where name like '%'+#name #+'%
相关文章
- 1. SQL注入问题
- 2. mybatis ${} sql注入
- 3. mybatis 学习笔记(二):mybatis SQL注入问题
- 4. 防止SQL注入问题
- 5. SQL注入问题总结
- 6. mybatis-plus sql注入原理
- 7. mybatis 防止sql注入
- 8. Mybatis防止sql注入
- 9. mybatis防止sql注入
- 10. Mybatis Plus sql注入器
- 更多相关文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依赖注入)的实现方式:属性注入和构造注入 - Spring教程
- • PHP Ajax 跨域问题最佳解决方案
- • IntelliJ IDEA中SpringBoot properties文件不能自动提示问题解决
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. SQL注入问题
- 2. mybatis ${} sql注入
- 3. mybatis 学习笔记(二):mybatis SQL注入问题
- 4. 防止SQL注入问题
- 5. SQL注入问题总结
- 6. mybatis-plus sql注入原理
- 7. mybatis 防止sql注入
- 8. Mybatis防止sql注入
- 9. mybatis防止sql注入
- 10. Mybatis Plus sql注入器