【转】ibatis like 用法，各数据库的安全拼接方法

iBatis解决sql注入

（1） ibatis xml配置：下面的写法只是简单的转义 namelike '%$name$%'

（2） 这时会导致sql注入问题，比如参数name传进一个单引号“'”，生成的sql语句会是：name like '%'%'

（3） 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

（4） 这样参数都会经过预编译，就不会发生sql注入问题了。

（5） #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性,ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx#，ibatis 就会把他翻译成 order by 'topicId' （这样就会报错） 语句这样写 ... order by $xxx$ibatis 就会把他翻译成 order by topicId

 

SELECT *   FROM user  WHERE username like '%$username$%'  的安全写法

Sql代码

SELECT *         FROM user        WHERE username like '%'  || #username# || '%'  

SELECT * FROM user WHERE username like '%' || #username# || '%' 

       其实上面的语句是针对Oracle 的，对于不同数据字符串连接符不一样。现列举mysql和SQLServer如下：

     

Mysql：

Sql代码

SELECT *         FROM user        WHERE username like CONCAT('%', #username#, '%')  

SQLServer：

Sql代码

SELECT *         FROM user        WHERE username like '%' + #username# +  '%'  

-----------------------------------------------------------------------------------------------------------------------------

      关于数据库字符串连接符简单列举我使用过的一些数据库如下：

 

Oracle	SQLServer	Mysql	DB2
|| 或 CONCAT()	+	CONCAT()	|| 或 CONCAT()

 

 

转自：http://blog.csdn.net/csdnbenbenchong/article/details/7105939