`
liufei.fir
  • 浏览: 692571 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

使用ibatis防止sql注入

sqlibatismysqlsql serveroracle 
阅读更多
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 
    mysql: select * from stu where name like concat('%',#name #,'%')  
     
    oracle: select * from stu where name like '%'||#name #||'%' 
     
    SQL Server:select * from stu where name like '%'+#name #+'%


如: 
<!-- 用途:小二后台查询活动的数目 -->
	<!-- 频率:1000/天 -->
	<!-- 维护:刘飞 -->
	<select id="countActivitySearch" resultClass="java.lang.Long" parameterClass="actDO">
    	<![CDATA[
    		select count(id) from activity 
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
		
    </select>
    
    <!-- 用途:小二后台查询活动的列表 -->
	<!-- 频率:1000/天 -->
	<!-- 维护:刘飞 -->
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>

不要这样来写: 
<select id="searchActivityForCount" resultClass="java.lang.Long" >
    	<![CDATA[
    		select count(*) from activity
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
    </select>
    
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>
分享到:
| java的引用探讨
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    寻找sql注入的网站的方法(必看)

    方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙

    ASP.NET MVC+iBatis+SQL

    3. **参数绑定**:在iBatis映射文件中,可以使用占位符绑定动态参数,实现SQL语句的参数化,提高安全性并防止SQL注入。 综上所述,这个项目演示了如何结合ASP.NET MVC、iBatis和SQL来构建一个简单的Web应用程序。...

    iBATIS-SqlMaps-2_cn.pdf

    此外,iBATIS支持预编译的PreparedStatement,能有效防止SQL注入攻击,提高执行效率。 总的来说,这份《iBATIS-SqlMaps-2_cn.pdf》文档全面涵盖了iBATIS框架的关键概念、配置和使用方法,是学习和使用iBATIS的重要...

    ibatis总结 ibatis ibatis ibatis ibatis

    例如,`select * from PRODUCT where PRD_CAT_ID = #{value}`中的`#{value}`是预编译参数,能有效防止SQL注入。 总结,Ibatis提供了灵活的SQL映射机制,使得开发人员能够更好地控制SQL的执行。同时,通过与Struts和...

    Ibatis资料ibatai sql map iBATIS使用$和#的一些理解

    通常情况下,`#`被用来防止SQL注入,它会将变量转化为预编译语句中的占位符。例如: ```sql select * from member where id = #id# ``` 当在Java代码中设置`id`为某个值时,iBATIS会将其转换为如下的预编译SQL: ...

    ibatis api 帮助文档+IBATIS 开发文档

    PreparedStatement支持预编译,提高性能并防止SQL注入;SimpleStatement则用于简单的SQL执行。 3. **ParameterMap**和**ParameterValuePair**:用于传递SQL查询参数。ParameterMap定义了参数和它们的映射关系,...

    iBATIS模糊查询

    1. 防止SQL注入攻击:在使用iBATIS进行模糊查询时,需要确保参数的安全性,以防止SQL注入攻击。例如,以下代码是错误的: ```sql SELECT * FROM t_stu WHERE s_name LIKE '%$name$%' ``` 这种代码容易受到SQL注入...

    ibatis基本操作数据库

    1. **参数绑定**:iBatis使用占位符(#{})进行参数绑定,可以防止SQL注入攻击。当使用#{paramName}时,iBatis会自动处理参数,将其转化为预编译SQL中的问号,类似于PreparedStatement在Java JDBC中的作用。 2. **...

    iBatis文档

    此外,iBatis支持预编译的PreparedStatement,以防止SQL注入攻击,并提供了强大的结果集映射功能,能够自动将查询结果转换为Java对象,甚至处理一对多、多对一等复杂关系。同时,它的事务控制灵活,既支持手动控制,...

    ibatis 入门

    #{ } 用于预编译的参数,能防止 SQL 注入;${} 则是简单的字符串替换,适用于非预编译场景。 7. **结果映射**:iBATIS 可以自动将查询结果映射到 Java 对象,无需手动处理。这包括自动类型转换、一对一、一对多等...

    ibatis-2.3

    PreparedStatement更安全,能有效防止SQL注入,而SimpleStatement则更适合简单的、不常变动的SQL。 标签“ibatis jar”表明这是一个包含Ibatis库的JAR文件,其中可能包括了`ibatis-core.jar`、`ibatis-sqlmap.jar`...

    ibatis官方中文文档

    `#{}` 语法用于参数绑定,它可以防止SQL注入。在SQL语句中,#{paramName}会被替换为预编译语句的占位符,参数值则在执行时传入。 5. **结果映射**: 结果映射定义了如何将查询结果映射到Java对象。`&lt;resultMap&gt;`...

    SQL.预编译.docx

    SQL预编译是数据库操作中的一个重要概念,...总的来说,SQL预编译是防止SQL注入和提升数据库操作性能的重要手段,尤其是在iBatis等框架中,应优先考虑使用PreparedStatement来编写动态SQL,确保应用的安全性和高效性。

    ibatis的使用,jar包,配置文件

    在SQL语句中,我们可以使用#{}和${}两种占位符,前者用于防止SQL注入,后者则会原样输出。 在实际使用中,我们首先需要创建一个SqlSessionFactoryBuilder,然后用其构建SqlSessionFactory。接着,通过...

    sql语句中用问号代替参数

    1. **防止SQL注入**:问号参数化能有效防止SQL注入攻击。因为它确保了用户输入的数据不会被解析为SQL代码,而是作为原始数据处理。即使用户尝试插入恶意SQL,数据库也会将它们视为普通字符串,而不会执行。 2. **...

    CodeSmith IBatis1.92模板

    7. **性能优化**:通过CodeSmith生成的代码通常会遵循最佳实践,例如,使用预编译的PreparedStatement来防止SQL注入并提升性能。 8. **版本控制**:生成的代码应纳入版本控制系统,如Git,以便团队协作和跟踪代码...

    ibatis教程

    - $号方式不能防止SQL注入,因此在处理动态生成的SQL语句时应谨慎使用。 - $号通常用于传入数据库对象,如表名等。 #### 四、总结 选择#还是$,应基于具体的应用场景和安全需求。通常,#因其预编译和类型检查...

    ibatis中 $ 于 # 的 区别

    使用`#{}`的方式可以有效防止SQL注入攻击。这是因为预编译的方式会将参数作为独立的单元处理,而不是简单地拼接到SQL语句中。这种方式使得即使传入了恶意的SQL代码,也不会被执行。 - **#{} 对 SQL 注释的支持** ...

    夏昕-ibatis 开发指南pdf版

    同时,安全问题也不能忽视,比如防止SQL注入的策略。 总的来说,《夏昕-iBatis 开发指南》不仅覆盖了iBatis的基本用法,还深入探讨了其实战中的高级应用,对于想要精通iBatis的开发者来说是一份宝贵的资源。通过...

    ibatis工程依赖的jar包

    2. Statement和PreparedStatement:执行SQL语句,前者用于基本的SQL,后者支持预编译的SQL,提高性能并防止SQL注入。 3. ResultSet:存储查询结果,提供了遍历、获取数据的方法。 4. Connection和Statement的生命...

Magicbox
Global site tag (gtag.js) - Google Analytics