安科网

使用IBATIS防止sql注入

qinbaby

qinbaby

2012-08-26

关注 关注

           对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。

例如,如果属性值为“' or '1'='1 ”,采用#写法没有问题,采用$写法就会有问题。

        对于like语句,难免要使用$写法,

        1. 对于Oracle可以通过'%'||'#param#'||'%'避免;

        2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;

        3. MSSQL中通过'%'+#param#+'% 。 

        4. #与$区别:#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId

        为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。

Sql代码 使用IBATIS防止sql注入 使用IBATIS防止sql注入使用IBATIS防止sql注入
  1. mysql: select * from stu where name like concat('%',#name #,'%')     
  2.     
  3. oracle: select * from stu where name like '%'||#name #||'%'    
  4.     
  5. SQL Server:select * from stu where name like '%'+#name #+'%     

如:

Sql代码 使用IBATIS防止sql注入 使用IBATIS防止sql注入使用IBATIS防止sql注入
  1. <!-- 用途:小二后台查询活动的数目 -->   
  2.        <select id="countActivitySearch" resultclass="java.lang.Long" parameterclass="actDO">   
  3.         <![CDATA[   
  4.             select count(id) from activity    
  5.             ]]>   
  6.            
  7.         <dynamic prepend="WHERE">   
  8.             <isNotNull prepend=" AND " property="name">   
  9.                 name LIKE CONCAT('%', #name#, '%')   
  10.             </isNotNull>   
  11.             <isNotNull prepend=" AND "  property="itemId">   
  12.                 itemId = #itemId#   
  13.             </isNotNull>   
  14.             <isNotNull prepend=" AND " property="itemName">   
  15.                 itemName LIKE CONCAT('%', #itemName#, '%')   
  16.             </isNotNull>            
  17.             <isNotNull prepend=" AND " property="status">   
  18.                 status = #status#   
  19.             </isNotNull>    
  20.             <isNotNull prepend=" AND " property="actStatus">   
  21.                 actStatus = #actStatus#   
  22.             </isNotNull>             
  23.             <isNotNull prepend=" AND " property="domain">   
  24.                 domain LIKE CONCAT('%', #domain#, '%')   
  25.             </isNotNull>   
  26.         </dynamic>   
  27.            
  28.     </select>   
  29.        
  30.     <!-- 用途:小二后台查询活动的列表 -->   
  31.  
  32.     <select id="searchActivityForList" resultMap="actResult" parameterclass="actDO">   
  33.         <![CDATA[   
  34.             select * from activity    
  35.         ]]>   
  36.            
  37.         <dynamic prepend="WHERE">   
  38.             <isNotNull prepend=" AND " property="name">   
  39.                 name LIKE CONCAT('%', #name#, '%')   
  40.             </isNotNull>   
  41.             <isNotNull prepend=" AND "  property="itemId">   
  42.                 itemId = #itemId#   
  43.             </isNotNull>   
  44.             <isNotNull prepend=" AND " property="itemName">   
  45.                 itemName LIKE CONCAT('%', #itemName#, '%')   
  46.             </isNotNull>            
  47.             <isNotNull prepend=" AND " property="status">   
  48.                 status = #status#   
  49.             </isNotNull>    
  50.             <isNotNull prepend=" AND " property="actStatus">   
  51.                 actStatus = #actStatus#   
  52.             </isNotNull>             
  53.             <isNotNull prepend=" AND " property="domain">   
  54.                 domain LIKE CONCAT('%', #domain#, '%')   
  55.             </isNotNull>   
  56.         </dynamic>   
  57.            
  58.         <![CDATA[   
  59.             order by starttime desc, createtime desc  
  60.             limit    
  61.                 #startRow#, #perPageSize#      
  62.         ]]>   
  63.     </select>  

不要这样来写:

Sql代码 使用IBATIS防止sql注入 使用IBATIS防止sql注入使用IBATIS防止sql注入
  1. <select id="searchActivityForCount" resultclass="java.lang.Long" >   
  2.         <![CDATA[   
  3.             select count(*) from activity   
  4.             ]]>   
  5.            
  6.         <dynamic prepend="WHERE">   
  7.             <isNotNull prepend=" AND " property="name">   
  8.                 name LIKE '%$name$%'  
  9.             </isNotNull>   
  10.             <isNotNull prepend=" AND " property="itemId">   
  11.                 itemId LIKE '%$itemId$%'  
  12.             </isNotNull>   
  13.             <isNotNull prepend=" AND " property="itemName">   
  14.                 itemName LIKE '%$itemName$%'  
  15.             </isNotNull>            
  16.             <isNotNull prepend=" AND " property="status">   
  17.                 status = #status#   
  18.             </isNotNull>    
  19.             <isNotNull prepend=" AND " property="actStatus">   
  20.                 actStatus = #actStatus#   
  21.             </isNotNull>             
  22.             <isNotNull prepend=" AND " property="domain">   
  23.                 domain LIKE '%$domain$%'  
  24.             </isNotNull>   
  25.         </dynamic>   
  26.     </select>   
  27.        
  28.     <select id="searchActivityForList" resultMap="actResult" parameterclass="actDO">   
  29.         <![CDATA[   
  30.             select * from activity    
  31.         ]]>   
  32.            
  33.         <dynamic prepend="WHERE">   
  34.             <isNotNull prepend=" AND " property="name">   
  35.                 name LIKE '%$name$%'  
  36.             </isNotNull>   
  37.             <isNotNull prepend=" AND " property="itemId">   
  38.                 itemId LIKE '%$itemId$%'  
  39.             </isNotNull>   
  40.             <isNotNull prepend=" AND " property="itemName">   
  41.                 itemName LIKE '%$itemName$%'  
  42.             </isNotNull>            
  43.             <isNotNull prepend=" AND " property="status">   
  44.                 status = #status#   
  45.             </isNotNull>    
  46.             <isNotNull prepend=" AND " property="actStatus">   
  47.                 actStatus = #actStatus#   
  48.             </isNotNull>             
  49.             <isNotNull prepend=" AND " property="domain">   
  50.                 domain LIKE '%$domain$%'  
  51.             </isNotNull>   
  52.         </dynamic>   
  53.            
  54.         <![CDATA[   
  55.             order by starttime desc, createtime desc  
  56.             limit    
  57.                 #startRow#, #perPageSize#      
  58.         ]]>   
  59.     </select>  

ibatis sql注入

qinbaby

qinbaby

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

mybatis插件开发小例子

public class MyFirstPlugin implements Interceptor {. public Object intercept(Invocation invocation) throws Throwable {. System.o

Dullonjiang 2020-01-23

ibatis和spring整合开发 例子

spring其实已经提供了支持ibatis的模板,我们只需要在配置中配置好这些文件,就可以进行相关的开发了。在这个里面我们配置了数据源其实就是连接数据库哈。txManager为事务管理器,不过这里我没有使用哈,暂且让它放在那里吧。。。。还有一个配置就是us

与卿画眉共浮生 2011-06-25

iBatis与 Hibernate 相同点不同点

jdbc api 编程流程固定,还将 sql语句与java 代码混杂在了一起,经常需要拼凑 sql语句,queryForObject返回单个对象;提供了自动将实体对象的属性传递给 sql语句的参数。xml配置文件中写sql语句,hibernate要比iba

yierxiansheng 2014-06-18

赶紧的,用户已经打电话来投诉线上出问题了

如标题所示,用户资金获取失败,线上某个服务通过dubbo调用接口都返回异常。赶紧连上服务器看日志,进去一看吓到了。全部是数据库的连接获取不到,技术栈说明下。我们是dubbo远程调用,数据库连接池是druid,数据库用的是mysql。

登峰小蚁 2019-12-24

mybatis出现sql异常时的日志优化-打印sql参数(版本2)

版本1有个问题,必须要配置mybaitis的logimp,否则会报错。重新写了了个新版本的插件拦截器,新版本的和配不配置logimp无关系,并且代码取自mybatis中的源代码,可保证正确效果

plane 2017-10-19

mybatis出现sql异常时的日志优化-打印sql参数

(请参考版本2,因为该版本有bug,必须要配置mybatis的日志logimp,否则会报错.

DGenerationX 2017-10-16

JDBC、ibatis(mybatis)、Hibernate有什么不同?

①JDBC编程流程固定,同时将sql语句和java代码混在了一起,经常需要拼凑sql语句,细节很繁琐;③Hibernate对象/关系映射能力强,数据库无关性好,因为hibernate自动生成sql语句,我们无法控制该语句,我们就无法去写特定的高效率的sql

踩风火轮的乌龟 2019-10-23

通过插件规范程序员的开发过程(Eclipse 代码助手新功能发布)

目前的是基于Eclpse kelper SR1开发和测试的。用来比较生产版本和准备上线版本的版本差别。目前已经实现的功能是检查Ibatis的一些开发规范1:在Ibatis的select,update,delete,insert中不能插入中文代码,此尤其对一

pandapanda 2014-05-08

spring整合ibatis事务管理

Spring通过DAO模式,提供了对iBATIS的良好支持。SqlMapClient对象是iBATIS中的主要对象,我们可以通过配置让spring来管理SqlMapClient对象的创建。看起来这些概念都与hibernate类似。Spring提供了强大的声

阿泰 2014-07-02

ibatis文档

准备使用 SQL Map SQL Map 架构能应用于设计不好的数据库模型甚至是设计不好的对象模型。尽管如此,您在设计数据库模型和对象模型时,还是应该遵循最佳的设计原则。这样,您会获得更好的性能和更简洁清晰的设计方案。分析什么是应用的业务对象,什么是数据模

shouen 2016-04-26

打印mybatis的执行语句到控制台和文件

#加了如下这句,表示只有info级别的信息才会被CONSOLE接收。#会在工作空间所在的根目录生成对应的文件

bob00 2017-12-13

J2EE 领域的一些技术框架结构图

Spring 是一个开源框架,是为了解决企业应用程序开发复杂性而创建的。框架的主要优势之一就是其分层架构,分层架构允许您选择使用哪一个组件,同时为J2EE 应用程序开发提供集成的框架。Spring 框架的功能可以用在任何J2EE 服务器中,大多数功能也适用

whileinsist 2012-04-07

ibatis批量导入mysql数据库

public void insertBatch(final List<WinddataBo> list) {. e.printStackTrace();e1.printStackTrace();e.printStackTrace();<!

spprogrammer 2018-01-25

mybatis总结

iBATIS会连接到数据库,设置参数,执行语句,获取结果,然后关闭和释放资源。首先,iBATIS本身就是小巧而简单的。它不需要服务器和任何其它中间件。iBATIS不依赖于其它第三方组件。一份最小的iBATIS安装只需引用一个dll文件和244KB的磁盘空间

Coohx 2017-12-05

ibatis和hibernate的比较

iBATIS一词来源于“internet”和“abatis”的组合,是一个由ClintonBegin在2001年发起的开放源代码项目,最初侧重于密码软件的开发,现在是一个基于Java的持久层框架。Hibernate是一个开放源代码的对象关系映射框架,它对J

AndroidOliver 2012-05-14

缓存----Ibatis /Hibernate

lazyLoadingEnabled 延迟加载数据;cacheModelsEnabled 全局性启用或关闭SqlMapCilent cache缓存;<flushInterval seconds="60"/> <flus

BruceWayne 2014-12-02

Mybatis Invalid bound statement (not found):.....问题

此情况是由于Mapper.xml配置文件中namespace文件位置写错导致的,特此记录!

liubang000 2014-05-30

iBatis入门

iBatis 是apache 的一个开源项目,一个O/R Mapping 解决方案,iBatis 最大的特点就是小巧,上手很快。如果不需要太多复杂的功能,iBatis 是能够满足你的要求又足够灵活的最简单的解决方案,现在的iBatis 已经改名为Mybat

KOJ 2013-11-26

日志框架统一输出控制(slf4j+log4j)

不同的框架采用的默认日志框架不同,有些用的slf4j,有些用的log4j。项目中我们需要统一控制日志的打印格式和打印级别。将log4j和slf4j整合:保留原本的log4j的jar包,删除slf4j-1.5.8.jar,然后导入slf4j-api-1.5.

CXC0 2013-08-28

关于Ibatis 转换 oracle date类型的问题

sql_text:select distinct t.cc from aa twhere t.update_time > :1 and t.update_time < :2. 怀疑是统计信息的问题,于是重新收集了统计信息,并重新生成了执行计划,

EricRay 2013-08-01
qinbaby

qinbaby

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号