使用ibatis防止sql注入

liufei.fir

浏览: 675898 次
性别:
来自: 上海

最近访客更多访客>>

性感迷人可爱又温柔的马云

dragonsky_w

清香白莲素还真

manyu042418

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

java 学习笔记
ibatis3(MyBatis)

sql ibatis mysql sql server oracle

为了防止SQL注入，iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。

    mysql: select * from stu where name like concat('%',#name #,'%')  
     
    oracle: select * from stu where name like '%'||#name #||'%' 
     
    SQL Server:select * from stu where name like '%'+#name #+'%

如：

<!-- 用途：小二后台查询活动的数目 -->
	<!-- 频率：1000/天 -->
	<!-- 维护：刘飞 -->
	<select id="countActivitySearch" resultClass="java.lang.Long" parameterClass="actDO">
    	<![CDATA[
    		select count(id) from activity 
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
		
    </select>
    
    <!-- 用途：小二后台查询活动的列表 -->
	<!-- 频率：1000/天 -->
	<!-- 维护：刘飞 -->
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>

不要这样来写：

<select id="searchActivityForCount" resultClass="java.lang.Long" >
    	<![CDATA[
    		select count(*) from activity
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
    </select>
    
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>

分享到：

互联网用户常见心理特征 | java的引用探讨

2011-12-19 19:59
浏览 4619
评论(0)
分类:行业应用
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

使用ibatis防止sql注入

评论

发表评论

相关推荐

最近访客 更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论

使用ibatis防止sql注入

评论

发表评论

相关推荐

Java编程中“为了性能”尽量要做到的一些地方

Java 5.0多线程编程

Thread.setDaemon设置说明

JVM运行时数据区

iBATIS之父：iBATIS框架的成功蜕变

java的引用探讨

ClassLoader

仿照Hibernate实现一个SQLite的ORM框架

java压缩文件

获取客户机IP地址

Java读取本地机器MAC地址

获取IP地址

用CSS来美化Java桌面--Javacss

java管理windows进程

java html工具

java将汉字转化为全拼

开源项目SVN源码地址

XML解析

jdbc操作大观园

Windows XP系统总命令集合

最近访客更多访客>>