最近看看了SQL注入的問題，這篇文章解決了ibatis如何防sql注入攻擊，值得參考，轉自http://blog.csdn.net/scorpio3k/article/details/7610973

?

?

對于ibaits參數引用可以使用#和$兩種寫法，其中#寫法會采用預編譯方式，將轉義交給了數據庫，不會出現注入問題；如果采用$寫法，則相當于拼接字符串，會出現注入問題。

例如，如果屬性值為“' or '1'='1 ”，采用#寫法沒有問題，采用$寫法就會有問題。

對于like語句，難免要使用$寫法，

?1. 對于Oracle可以通過'%'||'#param#'||'%'避免；

?2. 對于MySQL可以通過CONCAT('%',#param#,'%')避免；

?3. MSSQL中通過'%'+#param#+'%?。?

?

如下3種SQL語句：

[html] view plaincopyprint?

mysql:?select?*?from?t_user?where?name?like?concat('%',#name?#,'%')????

???

oracle:?select?*?from?t_user?where?name?like?'%'||#name?#||'%'???

???

SQL?Server:select?*?from?t_user?where?name?like?'%'+#name?#+'%?????

mysql: select * from t_user where name like concat('%',#name #,'%') oracle: select * from t_user where name like '%'||#name #||'%' SQL Server:select * from t_user where name like '%'+#name #+'%

總結

以上是生活随笔為你收集整理的ibatis解决sql注入问题 .的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。