类似下列这种写法是采用preparedStatement实现,是不会引起sql注入的
?? <isNotEmpty prepend="AND" property="name">?
????? name like #name#
?? </isNotEmpty>?
但是它跟
?? <isNotEmpty prepend="AND" property="name">?
????? name = #name#
?? </isNotEmpty>
没有区别,没有实现模糊查询,实现模糊查询的简单方法是这样:
<isNotEmpty prepend="AND" property="name">?
????? name like '%$name$%'
</isNotEmpty>
但这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:
name like '%'%'
这样肯定是会报错的,解决方法是利用字符串连接的方式来构成sql语句,如下:
<isNotEmpty prepend="AND" property="name">?
????? name like '%'||'#name#'||'%'
?? </isNotEmpty>
(“||”是Oracle中连接字符串的方法,MSSQL中是用加号,MySQL中是用CONCAT)
这样参数都会经过预编译,就不会发生sql注入问题了。
----------------------
对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。
例如,如果属性值为“' or '1'='1?”,采用#写法没有问题,采用$写法就会有问题。
对于like语句,难免要使用$写法,
?1. 对于Oracle可以通过'%'||'#param#'||'%'避免;
?2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免;
?3. MSSQL中通过'%'+#param#+'%?。?
?
如下3种SQL语句:
?
- mysql:?select?*?from?t_user?where?name?like?concat('%',#name?#,'%')????
- ???
- oracle:?select?*?from?t_user?where?name?like?'%'||#name?#||'%'???
- ???
- SQL?Server:select?*?from?t_user?where?name?like?'%'+#name?#+'%?????