ibatis之sql注入

來(lái)源：九壹網(wǎng)

今天親自試了一把，原來(lái)ibatis中的$是如此的危險(xiǎn)，如果你用$的話，很可能就會(huì)被sql注入!!! 所以：使用：select * from t_user where name like '%'||#name #||'%' 禁用：select * from t_user where name like '%'||'$name$'||'%' 解釋：預(yù)編譯語(yǔ)句已經(jīng)對(duì)o

　　今天親自試了一把，原來(lái)ibatis中的$是如此的危險(xiǎn)，如果你用$的話，很可能就會(huì)被sql注入!!!

　　所以：

　　使用：select * from t_user where name like '%'||#name #||'%'

　　禁用：select * from t_user where name like '%'||'$name$'||'%'

　　解釋：

　　預(yù)編譯語(yǔ)句已經(jīng)對(duì)oracle的特殊字符單引號(hào)，進(jìn)行了轉(zhuǎn)義。即將單引號(hào)視為查詢內(nèi)容，，而不是字符串的分界符。

　　由于SQL注入其實(shí)就是借助于特殊字符單引號(hào)，生成or 1= 1這種格式的sql。預(yù)編譯已經(jīng)對(duì)單引號(hào)進(jìn)行了處理，所以可以防止SQL注入

違法及侵權(quán)請(qǐng)聯(lián)系：TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市萬(wàn)商天勤律師事務(wù)所王興未律師提供法律服務(wù)

成熟丰满熟妇高潮XXXXX,人妻无码AV中文系列久久兔费 ,国产精品一国产精品,国精品午夜福利视频不卡麻豆

ibatis之sql注入