手机
当前位置:查字典教程网 >编程开发 >mssql数据库 >ibatis之sql注入
ibatis之sql注入
摘要:今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!所以:使用:select*fromt_us...

今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!

所以:

使用:select * from t_user where name like '%'||#name #||'%'

禁用:select * from t_user where name like '%'||'$name$'||'%'

解释:

预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,而不是字符串的分界符。

由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

【ibatis之sql注入】相关文章:

SQLServer 2008中SQL增强之一:Values新用途

删除重复的记录,并保存第一条记录或保存最后一条记录

PL/SQLdatabasecharacterset

搜索sql语句

查询表的操作记录的sql

如何恢复数据库备份到一个已存在的正在使用的数据库上

如何在 SQL SERVER 中快速有条件删除海量数据

在程序中压缩sql server2000的数据库备份文件的代码

pl/sql之数组

sql 多表连接查询

精品推荐
分类导航