类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的
<isNotEmpty prepend="AND" property="name">
name like #name#
</isNotEmpty>
但是它跟
<isNotEmpty prepend="AND" property="name">
name = #name#
</isNotEmpty>
没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:
<isNotEmpty prepend="AND" property="name">
name like '%$name$%'
</isNotEmpty>
但这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:
name like '%'%'
这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,如下:
<isNotEmpty prepend="AND" property="name">
name like '%'||'#name#'||'%'
</isNotEmpty>
(“||”是Oracle中连接字符串的方法,MSSQL中是用加号,MySQL中是用CONCAT)
这样参数都会经过预编译,就不会发生sql注入问题了。
----------------------
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。
例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。
对于like语句,难免要使用$写法,
1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
3. MSSQL中通过'%'+#param#+'% 。
如下3种SQL语句:
- mysql: select * from t_user where name like concat('%',#name #,'%')
- oracle: select * from t_user where name like '%'||#name #||'%'
- SQL Server:select * from t_user where name like '%'+#name #+'%
<iframe style="font-size: 12px; line-height: 18px;" src="http://tdcq.iteye.com/iframe_ggbd/794" frameborder="0" scrolling="no" width="468" height="60"></iframe>
相关推荐
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题。SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
在实际应用中,iBATIS SQL Maps常与其他Java框架(如Spring)集成,以实现更强大的功能,如AOP(面向切面编程)和依赖注入。同时,随着技术的发展,iBATIS已被MyBatis所取代,但其设计理念和核心思想在MyBatis中得以...
提供的两个文件"iBATIS-SqlMaps-2_cn.pdf"和"iBATIS-SqlMaps-2-Tutorial_cn.pdf"很可能是iBATIS SqlMaps的中文教程和指南,它们可以帮助读者深入理解iBATIS 的工作原理和使用方法,包括基本概念、配置、API使用、...
3. **参数绑定**:在iBatis映射文件中,可以使用占位符绑定动态参数,实现SQL语句的参数化,提高安全性并防止SQL注入。 综上所述,这个项目演示了如何结合ASP.NET MVC、iBatis和SQL来构建一个简单的Web应用程序。...
在“iBATIS-SqlMaps中文教程集合”中,你将找到四本深入浅出的教程,这些教程涵盖了iBATIS的基础使用、高级特性和实战案例,帮助开发者快速掌握并熟练运用iBATIS解决项目中的实际问题。 1. **基础篇** - iBATIS...
这个压缩包包含了一个PDF文档,即《iBATIS-SqlMaps-2_cn.pdf》,它是iBATIS SQL Maps 2的中文版指南,详细讲解了如何利用iBATIS进行数据库操作,并阐述了与Spring框架的整合方法。 iBATIS,全称为“Interactive ...
iBATIS,作为一款优秀的持久层框架,提供了强大的动态SQL功能,解决了直接使用JDBC时编写复杂动态SQL的难题。本文将深入探讨iBATIS动态注入的相关知识点。 iBATIS动态SQL主要通过XML映射文件中的特定标签实现,允许...
2. 需要手动管理SQL语句,可能会引发SQL注入问题。 3. 与ORM框架相比,iBATIS的功能相对较少,例如缺少实体类的自动映射。 总的来说,iBATIS SQL Maps为Java开发提供了一种有效的数据库访问方案,通过学习和掌握其...
3. **动态加载Mapper**:在服务类中,不要静态注入`SqlSessionTemplate`或`SqlSessionManager`,而是每次需要执行SQL时动态创建。例如,你可以创建一个`SqlSession`的工厂方法,该方法根据当前线程的上下文获取`...
其中`#value#`表示传入的实际参数值,通过这种方式实现了SQL语句的参数化,避免了SQL注入等安全问题。 ### 二、插入操作 接下来是第二条SQL语句: ```xml parameterClass=...
iBatis可以方便地集成到Spring中,形成一个强大的数据访问解决方案。 在SQL Server 2005中,数据插入通常涉及创建表结构、编写SQL插入语句以及使用Java代码调用这些语句。在本案例中,我们将关注如何配置SpringMVC...
例如,`select * from PRODUCT where PRD_CAT_ID = #{value}`中的`#{value}`是预编译参数,能有效防止SQL注入。 总结,Ibatis提供了灵活的SQL映射机制,使得开发人员能够更好地控制SQL的执行。同时,通过与Struts和...
Spring框架则是一个全面的后端解决方案,它不仅提供了依赖注入(DI)和面向切面编程(AOP),还支持事务管理、数据访问集成等。在与Struts2配合时,Spring可以管理Struts2的Action实例,进行依赖注入,使得业务逻辑...
在IT行业中,Ibatis是一个...然而,使用“##”时需谨慎,避免引发SQL注入等安全问题,因为它的原样输出特性可能会暴露敏感信息。在实际应用中,结合“#{}”和“##”的正确使用,可以极大地提升Ibatis的灵活性和实用性。
Spring可以与其他框架无缝集成,例如Struts2和iBatis,形成一个完整的应用解决方案。 本教程的开发实例将围绕这些技术展开,可能包含以下内容: 1. **环境搭建**:如何配置Java开发环境,安装并配置数据库(SQL...
Ibatis的出现,解决了传统JDBC中手动编写SQL和结果集映射的繁琐工作,提供了更加灵活的数据访问接口。 在"ibatis demo"中,我们通常会看到以下核心概念和知识点: 1. **配置文件**:Ibatis的配置文件(mybatis-...
iBATIS SQL Maps官方中文教程是一份非常宝贵的资源,它为初学者和进阶开发者提供了深入理解iBATIS SQL Maps的途径。iBATIS是一个Java框架,它将应用程序的业务逻辑与数据库操作分离,简化了数据访问层的开发。SQL ...
而《iBATIS-SqlMaps-2_Tutorial_ja.pdf》则是一个详细的教程,通过实例来引导读者逐步掌握iBATIS的使用方法,涵盖了从简单查询到复杂业务逻辑的实现。 《iBATIS-SqlMaps-2_cn.pdf》和《iBATIS-SqlMaps-2_Tutorial_...