常见容易犯错的写法:
select * from page_frame where title like '%$title$%'
这样会引起SQL注入漏洞.
解决方法:
select * from page_frame where title like '%'||#title#||'%'
注意:以上写法在oracle使用。
在mysql中,用这个: select * from page_frame where title CONCAT('%',#title#,'%')
在mssql中,用这个: select * from page_frame where '%'+#name #+'%
还有一种办法是将参数里的# $ ' 等字符串转义替换掉
分享到:
相关推荐
方法一:利用google高级搜索,比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
iBATIS-SqlMaps-2-Tutorial_cniBATIS-SqlMaps-2-Tutorial_cn.pdf.pdfiBATIS-SqlMaps-2-Tutorial_cn.pdfiBATIS-SqlMaps-2-Tutorial_cn.pdf
ibatis 开发指南 和 iBATIS-SqlMaps两本图书
[iBATIS]sql转换工具 简单哦~ 项目组自己写的哦~分享给大家了
iBATIS-SqlMaps2入门代码文档
webwork+ibatis+sqlserver2000完整实例
通过java程序查看ibatis配置文件中的sql语句(注:无法查看变量值)
iBATIS-SqlMaps ibatis入门教程,教你如何做配置ibatis
iBATIS-SqlMaps-2_cn中文文档
ibatis常用sql语句,简单易懂,方便查询,初学者宝典
在ibatis日志信息中打印SQL语句的方法(个人总结)
动态sql拼接
WAS上log4j日志不能输出(ibatis)sql语句解决办法[借鉴].pdf
ibatis的dtd
iBATIS-SqlMaps,ibatis映射文件
自己整理的非常好用 好东西向大家分享 └ ^o^ ┘
IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南
iBATIS-SqlMaps
ibatis-SqlMaps-开发指南-version 1.0; ibatis-SqlMaps-开发指南-version 2