myBatis的SQL注入问题

sqlMap中尽量不要使用$;$使用的是Statement（拼接字符串），会出现注入问题。#使用的是PreparedStatement（类似于预编译），将转义交给了数据库，不会出现注入问题；.前者容易出现SQL注入之类的安全问题，所以ibatis推荐使用#。

1、  正确使用$示例：ORDER BY $sortFieldName$ $sortType$，当参数是数据库字段名时这样使用是合适的，但一定注意这些参数一定不能是用户输入的。

2、  错 误使用$示例：URL LIKE '%$URL$%'，比如参数URL传进一个单引号“'”，生成的sql语句会是：URL like '%'%',这样肯定是会报错的，解决方法是利用字符串连接的方式来构成sql语句，此处应该改为: URL LIKE '%’||#URL#||’%'。

3、  错误的使用$一般都出现在 like后面，可以搜索 %$ 或者 $%。修改方法比较简单直接替换即可。%$替换为 %’||# ， $%替换为#||’%。

 综上：

对于like语句，难免要使用$写法，

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免；

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免；

 3. MSSQL中通过'%'+#param#+'% 。 

如下3种SQL语句：

mysql: select * from t_user where name like concat( '%' ,#name #, '%' )
oracle: select * from t_user where name like  '%' ||#name #|| '%'
SQL Server:select * from t_user where name like  '%' +#name #+'%

 

分享到： 2赞

 

原文地址： http://www.cnblogs.com/ryanchancrj/p/3210227.html

 

 

本文来源于： http://my.oschina.net/ydsakyclguozi/blog/266863