程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> ibatis之sql注入

ibatis之sql注入

編輯:關於SqlServer

       今天親自試了一把,原來ibatis中的$是如此的危險,如果你用$的話,很可能就會被sql注入!!!

      所以:

      使用:select * from t_user where name like '%'||#name #||'%'

      禁用:select * from t_user where name like '%'||'$name$'||'%'

      解釋:

      預編譯語句已經對oracle的特殊字符單引號,進行了轉義。即將單引號視為查詢內容,而不是字符串的分界符。

      由於SQL注入其實就是借助於特殊字符單引號,生成or 1= 1這種格式的sql。預編譯已經對單引號進行了處理,所以可以防止SQL注入

    1. 上一頁:
    2. 下一頁:
    Copyright © 程式師世界 All Rights Reserved