ホームページ  >  記事  >  データベース  >  ibatis之sql注入

ibatis之sql注入

WBOY
WBOYオリジナル
2016-06-07 16:21:121196ブラウズ

今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!! 所以: 使用:select * from t_user where name like '%'||#name #||'%' 禁用:select * from t_user where name like '%'||'$name$'||'%' 解释: 预编译语句已经对o

   今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!

  所以:

  使用:select * from t_user where name like '%'||#name #||'%'

  禁用:select * from t_user where name like '%'||'$name$'||'%'

  解释:

  预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,,而不是字符串的分界符。

  由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。