使用ibatis防止sql注入

liufei.fir

浏览: 693778 次
性别:
来自: 上海

最近访客更多访客>>

性感迷人可爱又温柔的马云

dragonsky_w

清香白莲素还真

manyu042418

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

java 学习笔记
ibatis3(MyBatis)

sql ibatis mysql sql server oracle

为了防止SQL注入，iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。

    mysql: select * from stu where name like concat('%',#name #,'%')  
     
    oracle: select * from stu where name like '%'||#name #||'%' 
     
    SQL Server:select * from stu where name like '%'+#name #+'%

如：

<!-- 用途：小二后台查询活动的数目 -->
	<!-- 频率：1000/天 -->
	<!-- 维护：刘飞 -->
	<select id="countActivitySearch" resultClass="java.lang.Long" parameterClass="actDO">
    	<![CDATA[
    		select count(id) from activity 
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
		
    </select>
    
    <!-- 用途：小二后台查询活动的列表 -->
	<!-- 频率：1000/天 -->
	<!-- 维护：刘飞 -->
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>

不要这样来写：

<select id="searchActivityForCount" resultClass="java.lang.Long" >
    	<![CDATA[
    		select count(*) from activity
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
    </select>
    
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>

分享到：

互联网用户常见心理特征 | java的引用探讨

2011-12-19 19:59
浏览 4699
评论(0)
分类:行业应用
查看更多

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

基于MATLAB GUI与CNN的模糊车牌识别系统：从图像预处理到字符识别全流程解析: 内容概要：本文详细介绍了基于MATLAB GUI界面和卷积神经网络(CNN)的模糊车牌识别系统。该系统旨在解决现实中车牌因模糊不清导致识别困难的问题。文中阐述了整个流程的关键步骤，包括图像的模糊还原、灰度化、阈值化、边缘检测、孔洞填充、形态学操作、滤波操作、车牌定位、字符分割以及最终的字符识别。通过使用维纳滤波或最小二乘法约束滤波进行模糊还原，再利用CNN的强大特征提取能力完成字符分类。此外，还特别强调了MATLAB GUI界面的设计，使得用户能直观便捷地操作整个系统。适合人群：对图像处理和深度学习感兴趣的科研人员、高校学生及从事相关领域的工程师。使用场景及目标：适用于交通管理、智能停车场等领域，用于提升车牌识别的准确性和效率，特别是在面对模糊车牌时的表现。其他说明：文中提供了部分关键代码片段作为参考，并对实验结果进行了详细的分析，展示了系统在不同环境下的表现情况及其潜在的应用前景。

嵌入式八股文面试题库资料知识宝典-计算机专业试题.zip: 嵌入式八股文面试题库资料知识宝典-计算机专业试题.zip

嵌入式八股文面试题库资料知识宝典-C and C++ normal interview_3.zip: 嵌入式八股文面试题库资料知识宝典-C and C++ normal interview_3.zip

开关磁阻电机技术参数与建模技术深度解析：4kW电机性能详述: 内容概要：本文深入探讨了一款额定功率为4kW的开关磁阻电机，详细介绍了其性能参数如额定功率、转速、效率、输出转矩和脉动率等。同时，文章还展示了利用RMxprt、Maxwell 2D和3D模型对该电机进行仿真的方法和技术，通过外电路分析进一步研究其电气性能和动态响应特性。最后，文章提供了基于RMxprt模型的MATLAB仿真代码示例，帮助读者理解电机的工作原理及其性能特点。适合人群：从事电机设计、工业自动化领域的工程师和技术人员，尤其是对开关磁阻电机感兴趣的科研工作者。使用场景及目标：适用于希望深入了解开关磁阻电机特性和建模技术的研究人员，在新产品开发或现有产品改进时作为参考资料。其他说明：文中提供的代码示例仅用于演示目的，实际操作时需根据所用软件的具体情况进行适当修改。

少儿编程scratch项目源代码文件案例素材-剑客冲刺.zip: 少儿编程scratch项目源代码文件案例素材-剑客冲刺.zip

少儿编程scratch项目源代码文件案例素材-几何冲刺转瞬即逝.zip: 少儿编程scratch项目源代码文件案例素材-几何冲刺转瞬即逝.zip

四象限直流电机速度驱动控制系统PID控制仿真模型设计与实现: 内容概要：本文详细介绍了基于PID控制器的四象限直流电机速度驱动控制系统仿真模型及其永磁直流电机（PMDC）转速控制模型。首先阐述了PID控制器的工作原理，即通过对系统误差的比例、积分和微分运算来调整电机的驱动信号，从而实现转速的精确控制。接着讨论了如何利用PID控制器使有刷PMDC电机在四个象限中精确跟踪参考速度，并展示了仿真模型在应对快速负载扰动时的有效性和稳定性。最后，提供了Simulink仿真模型和详细的Word模型说明文档，帮助读者理解和调整PID控制器参数，以达到最佳控制效果。适合人群：从事电力电子与电机控制领域的研究人员和技术人员，尤其是对四象限直流电机速度驱动控制系统感兴趣的读者。使用场景及目标：适用于需要深入了解和掌握四象限直流电机速度驱动控制系统设计与实现的研究人员和技术人员。目标是在实际项目中能够运用PID控制器实现电机转速的精确控制，并提高系统的稳定性和抗干扰能力。其他说明：文中引用了多篇相关领域的权威文献，确保了理论依据的可靠性和实用性。此外，提供的Simulink模型和Word文档有助于读者更好地理解和实践所介绍的内容。

嵌入式八股文面试题库资料知识宝典-2013年海康威视校园招聘嵌入式开发笔试题.zip: 嵌入式八股文面试题库资料知识宝典-2013年海康威视校园招聘嵌入式开发笔试题.zip

少儿编程scratch项目源代码文件案例素材-驾驶通关.zip: 少儿编程scratch项目源代码文件案例素材-驾驶通关.zip

小区开放对周边道路通行能力影响的研究.pdf: 小区开放对周边道路通行能力影响的研究.pdf

冷链物流路径优化：基于NSGA-2遗传算法与软硬时间窗策略的研究: 内容概要：本文探讨了冷链物流车辆路径优化问题，特别是如何通过NSGA-2遗传算法和软硬时间窗策略来实现高效、环保和高客户满意度的路径规划。文中介绍了冷链物流的特点及其重要性，提出了软时间窗概念，允许一定的配送时间弹性，同时考虑碳排放成本，以达到绿色物流的目的。此外，还讨论了如何将客户满意度作为路径优化的重要评价标准之一。最后，通过一段简化的Python代码展示了遗传算法的应用。适合人群：从事物流管理、冷链物流运营的专业人士，以及对遗传算法和路径优化感兴趣的科研人员和技术开发者。使用场景及目标：适用于冷链物流企业，旨在优化配送路线，降低运营成本，减少碳排放，提升客户满意度。目标是帮助企业实现绿色、高效的物流配送系统。其他说明：文中提供的代码仅为示意，实际应用需根据具体情况调整参数设置和模型构建。

少儿编程scratch项目源代码文件案例素材-恐怖矿井.zip: 少儿编程scratch项目源代码文件案例素材-恐怖矿井.zip

基于STM32F030的无刷电机高压FOC控制方案：滑膜无感FOC技术及保护机制: 内容概要：本文详细介绍了基于STM32F030的无刷电机控制方案，重点在于高压FOC（磁场定向控制）技术和滑膜无感FOC的应用。该方案实现了过载、过欠压、堵转等多种保护机制，并提供了完整的源码、原理图和PCB设计。文中展示了关键代码片段，如滑膜观测器和电流环处理，以及保护机制的具体实现方法。此外，还提到了方案的移植要点和实际测试效果，确保系统的稳定性和高效性。适合人群：嵌入式系统开发者、电机控制系统工程师、硬件工程师。使用场景及目标：适用于需要高性能无刷电机控制的应用场景，如工业自动化设备、无人机、电动工具等。目标是提供一种成熟的、经过验证的无刷电机控制方案，帮助开发者快速实现并优化电机控制性能。其他说明：提供的资料包括详细的原理图、PCB设计文件、源码及测试视频，方便开发者进行学习和应用。

基于有限体积法Godunov格式的管道泄漏检测模型研究.pdf: 基于有限体积法Godunov格式的管道泄漏检测模型研究.pdf

嵌入式八股文面试题库资料知识宝典-CC++笔试题-深圳有为（2019.2.28）1.zip: 嵌入式八股文面试题库资料知识宝典-CC++笔试题-深圳有为（2019.2.28）1.zip

少儿编程scratch项目源代码文件案例素材-几何冲刺 V1.5.zip: 少儿编程scratch项目源代码文件案例素材-几何冲刺 V1.5.zip

Android系统开发_Linux内核配置_USB-HID设备模拟_通过root权限将Android设备转换为全功能USB键盘的项目实现_该项目需要内核支持configFS文件系统.zip: Android系统开发_Linux内核配置_USB-HID设备模拟_通过root权限将Android设备转换为全功能USB键盘的项目实现_该项目需要内核支持configFS文件系统

C# WPF - LiveCharts Project: C# WPF - LiveCharts Project

少儿编程scratch项目源代码文件案例素材-恐怖叉子动画.zip: 少儿编程scratch项目源代码文件案例素材-恐怖叉子动画.zip

嵌入式八股文面试题库资料知识宝典-嵌⼊式⼯程师⾯试⾼频问题.zip: 嵌入式八股文面试题库资料知识宝典-嵌⼊式⼯程师⾯试⾼频问题.zip

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

使用ibatis防止sql注入

评论

发表评论

相关推荐

Java编程中“为了性能”尽量要做到的一些地方

Java 5.0多线程编程

Thread.setDaemon设置说明

JVM运行时数据区

iBATIS之父：iBATIS框架的成功蜕变

java的引用探讨

ClassLoader

仿照Hibernate实现一个SQLite的ORM框架

java压缩文件

获取客户机IP地址

Java读取本地机器MAC地址

获取IP地址

用CSS来美化Java桌面--Javacss

java管理windows进程

java html工具

java将汉字转化为全拼

开源项目SVN源码地址

XML解析

jdbc操作大观园

Windows XP系统总命令集合

最近访客更多访客>>