简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > データベース > mysql チュートリアル > 本文

ibatis之sql注入

WBOY
リリース: 2016-06-07 16:21:12
オリジナル
1125 人が閲覧しました

今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!! 所以: 使用:select * from t_user where name like '%'||#name #||'%' 禁用:select * from t_user where name like '%'||'$name$'||'%' 解释: 预编译语句已经对o

   今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!

  所以:

  使用:select * from t_user where name like '%'||#name #||'%'

  禁用:select * from t_user where name like '%'||'$name$'||'%'

  解释:

  预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,,而不是字符串的分界符。

  由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

関連ラベル:
ibatis 注射
ソース:php.cn
前の記事:如何处理MySQL密码有效性验证失败 次の記事:如何提高MySQL数据分页效率
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
java - 使用ibatis 统计查询的时候 是否会得到null值的结果? 方法 {代码...} xml {代码...} 这里直接强转成Integer然后利用拆箱返回有可能会NPE吗?
から 2017-04-18 10:41:14
0
3
301
java - executeQueryForObject returned too many results 有一个SQL: {代码...} ibatis Dao层是这么写的: {代码...} 现在提示错误: {代码...} 奇了怪了,这SQL打死也不能查出多条结果啊?
から 2017-04-18 10:13:04
0
2
340
java - ibatis日志中的奇怪问题 昨天测试测出个问题,我有一条记录要入库,日志中打印出的insert语句有个奇怪的地方,就是明明没设置值的两个字段,竟然有值,一个12,一个1,但是库里面是没有值的。我脑抽,看了一下...
から 2017-04-17 17:58:26
0
1
174
java - ibatis中怎么实现用大字段的形式向数据库批量保存用base64编码的的图片 1.前端用base64对图片进行处理后传到后台;传过来的是什么形式(STRING OR 其他);2.后台怎么用ibatis 实现把批量把图片写入oracle数据库(java代码写法...
から 2017-04-17 17:31:58
0
0
251
java - iBatis中SqlMapClientTemplate和SqlMapClient有什么区别 初学iBatis,一直搞不清楚这两者的区别,网上找了一些资料,感觉也是讲的不是很清楚.我知道现在多数在用MyBatis,但是工作当中的框架是这个,虽然不想学,也没办法.今天遇到一个...
から 2017-04-17 14:58:48
0
1
226
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!