关于Ibatis 的自动防止SQL 注入
2009-04-30 11:52
387 查看
假设用户执行
这条语句。其中5是有用户输入的。
SQL注入的含义就是,一些捣蛋用户输入的不是5,而是
5; delete from orders
那么原来的SQL语句将会变为,
.
在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。
不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement
s )。
上述语句会被编译为,
从而有效防止SQL注入。
不过当你使用$占位符时就要注意了。
例如:动态的选择列和表
这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。
参考资料:
【iBATIS in Action】 3.5.2 SQL injection
select * from product where id = 5
这条语句。其中5是有用户输入的。
SQL注入的含义就是,一些捣蛋用户输入的不是5,而是
5; delete from orders
那么原来的SQL语句将会变为,
select * from product where id=5; delete from orders
.
在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。
不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement
s )。
上述语句会被编译为,
select * from product where id=?
从而有效防止SQL注入。
不过当你使用$占位符时就要注意了。
例如:动态的选择列和表
SELECT * FROM $TABLE_NAME$ WHERE $COLUMN_NAME$ = #value#
这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。
参考资料:
【iBATIS in Action】 3.5.2 SQL injection
相关文章推荐
- 关于Ibatis 的自动防止SQL 注入
- 防止注入网上查了下用SqlParameter可以,那SqlParameter处理单引号时候是自动转义了吗
- struts2与spring集成时,关于Action类中成员bean自动注入的问题
- 关于SQL 注入
- SQL注入自动扫描工具中的语句
- c#客户端防止SQL注入
- 关于非Spring管理下的Bean通过反射在newInstance()下的自动注入问题
- 防止SQL注入安全性解决方案
- 很好用的 web防止sql 注入 xss 攻击 目录遍历代码
- sql特殊字符转义处理,防止注入
- asp.net 如何防止SQL注入
- hibernate防止sql注入
- 总结了关于PHP xss 和 SQL 注入的问题(转)
- struts2与spring集成时,关于class属性及成员bean自动注入的问题
- 如何防止sql注入
- php防止sql注入
- 关于苹果审核,防止app文件自动备份到icloud上的方法。
- 两段简单的JS代码防止SQL注入
- 防止sql注入
- Mybatis3.0防止SQL注入