ibatis之sql注入
來源:易賢網(wǎng) 閱讀:1083 次 日期:2014-11-03 11:22:00
溫馨提示:易賢網(wǎng)小編為您整理了“ibatis之sql注入”,方便廣大網(wǎng)友查閱!

今天親自試了一把,原來ibatis中的$是如此的危險,如果你用$的話,很可能就會被sql注入!!!

所以:

使用:select * from t_user where name like '%'||#name #||'%'

禁用:select * from t_user where name like '%'||'$name$'||'%'

解釋:

預編譯語句已經(jīng)對oracle的特殊字符單引號,進行了轉義。即將單引號視為查詢內容,而不是字符串的分界符。

由于SQL注入其實就是借助于特殊字符單引號,生成or 1= 1這種格式的sql。預編譯已經(jīng)對單引號進行了處理,所以可以防止SQL注入

更多信息請查看IT技術專欄

更多信息請查看數(shù)據(jù)庫
易賢網(wǎng)手機網(wǎng)站地址:ibatis之sql注入

2025國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機號
  • 驗證碼
關于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 新媒體/短視頻平臺 | 手機站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務許可證:(云)人服證字(2023)第0102001523號
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關注公眾號:hfpxwx
咨詢QQ:1093837350(9:00—18:00)版權所有:易賢網(wǎng)