安全黑客
当前位置:安全黑客文章资讯安全技术安全检测
日期:2012-03-25 10:40:00  来源:本站整理

iBatis办理自动避免sql注入[安全检测]

赞助商链接



  本文“iBatis办理自动避免sql注入[安全检测]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

#xxx# 代表xxx是属性值,map里面的key大概是你的pojo对象里面的属性, ibatis会自动在它的表面加上引号,表目前sql语句是这样的where xxx = 'xxx' ;

(1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'
 
(2) 这时会招致sql注入问题,比方参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'
 
(3) 办理办法是操纵字符串通接的方法来构成sql语句name like '%'||'#name#'||'%'
 
(4) 这样参数城市经过预编译,就不会发生sql注入问题了.
 
(5)#与$辨别:
 
$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比方order by topicId , 语句这样写... order by #xxx# ibatis 就会把他翻译成order by 'topicId' (这样就会报错) 语句这样写... order by $xxx$ ibatis 就会把他翻译成order by topicId


  以上是“iBatis办理自动避免sql注入[安全检测]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • iBatis办理自动避免sql注入
  • 介绍作为iBatis帮忙工具的iBator的操纵办法
  • 操纵iBatis的自动化代码生成工具Abator
  • iBatis操纵OSCache作缓存与java.io.FileNotFoundException非常
  • 用JSF+Spring+IBatis搭建一个简单框架
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .