萬盛學電腦網

 萬盛學電腦網 >> 數據庫 >> mssql數據庫 >> ibatis之sql注入

ibatis之sql注入

   今天親自試了一把,原來ibatis中的$是如此的危險,如果你用$的話,很可能就會被sql注入!!!

  所以:

  使用:select * from t_user where name like '%'||#name #||'%'

  禁用:select * from t_user where name like '%'||'$name$'||'%'

  解釋:

  預編譯語句已經對oracle的特殊字符單引號,進行了轉義。即將單引號視為查詢內容,而不是字符串的分界符。

  由於SQL注入其實就是借助於特殊字符單引號,生成or 1= 1這種格式的sql。預編譯已經對單引號進行了處理,所以可以防止SQL注入

copyright © 萬盛學電腦網 all rights reserved