ibatis 防止SQL注入与占位符的注入 - java developer - ITeye博客

`

xudongcsharp

浏览: 468331 次
性别:
来自: 上海

最近访客更多访客>>

fbswz1111

chenmo80125

jelly25176

Cadelle

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

276847139：方法很有效，我的问题就在是在父项目的.classpa ...
手动添加Maven Dependencies
coosummer：推荐使用http://buttoncssgenerator.c ...
button css 样式
lqz2012： DBFFileReader是外部框架里面的吧，不是JDK的。楼 ...
java读取dbf文件
xudongcsharp： lx13345 写道java.lang.NoSuchMetho ...
Spring常用错误
lx13345： jar是hibernate3.3GA，ehcache-1.5. ...
Spring常用错误

ibatis 防止SQL注入与占位符的注入

博客分类：

Ibatis/Mybatis

阅读更多

SQL注入：

如果用户执行
select * from product where id = 5
这条语句。其中5是有用户输入的。
SQL注入的含义就是，一些捣蛋用户输入的不是5，而是
5; delete from orders
那么原来的SQL语句将会变为，
select * from product where id=5; delete from orders
在执行完select后，还将删除orders表里的所有记录。

不过庆幸的是，Ibatis使用的是预编译语句PreparedStatements
上述语句会被编译为，
select * from product where id=?
从而有效防止SQL注入。

不过当你使用$占位符时就要注意了。

#与$区别:
#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成 order by 'topicId' （这样就会报错）语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId

分享到：

手动添加Maven Dependencies | Jenkins 远程部署

2013-08-26 13:44
浏览 1143
评论(0)
分类:企业架构
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

寻找sql注入的网站的方法(必看): 方法一：利用google高级搜索，比如搜索url如.asp?... 您可能感兴趣的文章:Java面试题解析之判断以及防止SQL注入SQL注入原理与解决方法代码示例通过ibatis解决sql注入问题Win2003服务器防SQL注入神器–D盾_IIS防火墙

通过ibatis解决sql注入问题: 主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下

iBATIS-SqlMaps-2-Tutorial_cn.pdf: iBATIS-SqlMaps-2-Tutorial_cniBATIS-SqlMaps-2-Tutorial_cn.pdf.pdfiBATIS-SqlMaps-2-Tutorial_cn.pdfiBATIS-SqlMaps-2-Tutorial_cn.pdf

ibatis 开发指南和 iBATIS-SqlMaps两本图书: ibatis 开发指南和 iBATIS-SqlMaps两本图书

[iBATIS]sql转换工具: [iBATIS]sql转换工具简单哦~ 项目组自己写的哦~分享给大家了

iBATIS-SqlMaps2入门代码文档: iBATIS-SqlMaps2入门代码文档

webwork+ibatis+sqlserver2000: webwork+ibatis+sqlserver2000完整实例

查看ibatis后台sql: 通过java程序查看ibatis配置文件中的sql语句(注：无法查看变量值)

iBATIS-SqlMaps-2_cn1.pdf: iBATIS-SqlMaps ibatis入门教程，教你如何做配置ibatis

iBATIS-SqlMaps-2_cn中文文档: iBATIS-SqlMaps-2_cn中文文档

ibatis常用sql语句: ibatis常用sql语句,简单易懂,方便查询,初学者宝典

在ibatis日志信息中打印SQL语句的方法(个人总结): 在ibatis日志信息中打印SQL语句的方法(个人总结)

ibatis动态sql拼接: 动态sql拼接

ibatis的sql-map dtd: ibatis的dtd

iBATIS-SqlMaps,ibatis映射文件: iBATIS-SqlMaps,ibatis映射文件

ibatis动态SQL标签用法: 自己整理的非常好用好东西向大家分享 └ ^o^ ┘

IBatis-SQL-MAPs 开发指南: IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南IBatis-SQL-MAPs 开发指南

iBATIS-SqlMaps: iBATIS-SqlMaps

ibatis-SqlMaps-开发指南-version 1.0 及 ibatis-SqlMaps-开发指南-version 2: ibatis-SqlMaps-开发指南-version 1.0; ibatis-SqlMaps-开发指南-version 2

Global site tag (gtag.js) - Google Analytics