简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
> 데이터 베이스 > MySQL 튜토리얼 > 본문

ibatis之sql注入

WBOY
풀어 주다: 2016-06-07 16:21:12
원래의
1125명이 탐색했습니다.

今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!! 所以: 使用:select * from t_user where name like '%'||#name #||'%' 禁用:select * from t_user where name like '%'||'$name$'||'%' 解释: 预编译语句已经对o

   今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!

  所以:

  使用:select * from t_user where name like '%'||#name #||'%'

  禁用:select * from t_user where name like '%'||'$name$'||'%'

  解释:

  预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,,而不是字符串的分界符。

  由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

관련 라벨:
ibatis 주입
원천:php.cn
이전 기사:如何处理MySQL密码有效性验证失败 다음 기사:如何提高MySQL数据分页效率
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
java - 使用ibatis 统计查询的时候 是否会得到null值的结果? 方法 {代码...} xml {代码...} 这里直接强转成Integer然后利用拆箱返回有可能会NPE吗?
에서 2017-04-18 10:41:14
0
3
301
java - executeQueryForObject returned too many results 有一个SQL: {代码...} ibatis Dao层是这么写的: {代码...} 现在提示错误: {代码...} 奇了怪了,这SQL打死也不能查出多条结果啊?
에서 2017-04-18 10:13:04
0
2
340
java - ibatis日志中的奇怪问题 昨天测试测出个问题,我有一条记录要入库,日志中打印出的insert语句有个奇怪的地方,就是明明没设置值的两个字段,竟然有值,一个12,一个1,但是库里面是没有值的。我脑抽,看了一下...
에서 2017-04-17 17:58:26
0
1
174
java - ibatis中怎么实现用大字段的形式向数据库批量保存用base64编码的的图片 1.前端用base64对图片进行处理后传到后台;传过来的是什么形式(STRING OR 其他);2.后台怎么用ibatis 实现把批量把图片写入oracle数据库(java代码写法...
에서 2017-04-17 17:31:58
0
0
251
java - iBatis中SqlMapClientTemplate和SqlMapClient有什么区别 初学iBatis,一直搞不清楚这两者的区别,网上找了一些资料,感觉也是讲的不是很清楚.我知道现在多数在用MyBatis,但是工作当中的框架是这个,虽然不想学,也没办法.今天遇到一个...
에서 2017-04-17 14:58:48
0
1
226
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!