ibatis之sql注入_mssql数据库教程-查字典教程网
ibatis之sql注入
ibatis之sql注入
发布时间:2015-06-05 来源:查字典编辑
摘要:今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!所以:使用:select*fromt_us...

今天亲自试了一把,原来ibatis中的$是如此的危险,如果你用$的话,很可能就会被sql注入!!!

所以:

使用:select * from t_user where name like '%'||#name #||'%'

禁用:select * from t_user where name like '%'||'$name$'||'%'

解释:

预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,而不是字符串的分界符。

由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

相关阅读
推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
  • 大家都在看
  • 小编推荐
  • 猜你喜欢
  • 最新mssql数据库学习
    热门mssql数据库学习
    编程开发子分类