• 时事博文
  • 文化时尚
  • 潮流娱乐
  • 生活常识
  • 健康生活
  • 旅游攻略
  • 体育风云
  • 财经博文
  • 汽车频道
  • 科技
  • 游戏
  • 女人
  • 互联网
  • 军事博览
  • 个性推荐
  • 当前位置: 精彩博文网 > 女人 > 正文

    ibatis sql_ibatis之sql注入

    时间:2018-08-15 16:29:23 来源:精彩博文网 本文已影响 精彩博文网手机站

    今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!

    所以:

    使用:select * from t_user where name like "%"||#name #||"%"

    禁用:select * from t_user where name like "%"||"$name$"||"%"

    解释:

    预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,而不是字符串的分界符。

    由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

    • 时事博文
    • 文化时尚
    • 潮流娱乐
    • 科技
    • 游戏
    • 女人
    • 个性推荐