iBatis解决自动防止sql注入-阿里云开发者社区

开发者社区> cnbird> 正文

iBatis解决自动防止sql注入

简介: #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ; ...
+关注继续查看

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ;

(1)ibatis xml配置:下面的写法只是简单的转义name like '%$name$%'
 
(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'
 
(3) 解决方法是利用字符串连接的方式来构成sql语句name like '%'||'#name#'||'%'
 
(4) 这样参数都会经过预编译,就不会发生sql注入问题了。
 
(5)#与$区别:
 
$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如order by topicId , 语句这样写... order by #xxx# ibatis 就会把他翻译成order by 'topicId' (这样就会报错) 语句这样写... order by $xxx$ ibatis 就会把他翻译成order by topicId

 

 

假设用户执行

 
select * from product where id = 5 
 
这条语句。其中5是有用户输入的。
 
SQL注入的含义就是,一些捣蛋用户输入的不是5,而是
 
 
 
5;  delete  from  orders
 
 
 
那么原来的SQL语句将会变为,
 
 
select * from product where id=5;  delete  from  orders 
.
 
在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。
 
 
 
不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement
s )。
 
上述语句会被编译为,
 
 
select * from product where id=? 
 
从而有效防止SQL注入。
 
 
 
不过当你使用$占位符时就要注意了。
 
例如:动态的选择列和表
 
 
SELECT * FROM $TABLE_NAME$ WHERE $COLUMN_NAME$ = #value# 
 
这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。
 

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Spring5入门学习笔记
这个是视频学习时记录的笔记,供自己日后复习和其他同学参考使用。
8 0
+关注
cnbird
阿里云安全专家,主要负责阿里云云产品安全。
4036
文章
3
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载