sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。
1、??正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的,但一定注意这些参数一定不能是用户输入的。
2、??错 误使用$示例:URL LIKE '%$URL$%',比如参数URL传进一个单引号“'”,生成的sql语句会是:URL like '%'%',这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,此处应该改为: URL LIKE '%’||#URL#||’%'。
3、??错误的使用$一般都出现在?like后面,可以搜索?%$?或者?$%。修改方法比较简单直接替换即可。%$替换为?%’||#?,?$%替换为#||’%。
?综上:
对于like语句,难免要使用$写法,
?1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
?2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
?3. MSSQL中通过'%'+#param#+'%?。?
如下3种SQL语句:
1 2 3 | mysql:?select?*?from?t_user?where?name?like?concat('%',#name?#,'%')??????oracle:?select?*?from?t_user?where?name?like?'%'||#name?#||'%'??????SQL?Server:select?*?from?t_user?where?name?like?'%'+#name?#+'% |
?
分享到: 
2赞
2赞 ?
原文地址:http://www.cnblogs.com/ryanchancrj/p/3210227.html
?
?
本文来源于:http://my.oschina.net/ydsakyclguozi/blog/266863