這篇文章將為大家詳細講解有關(guān)怎么利用ibatis對sql進行注入，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

10年積累的網(wǎng)站設(shè)計制作、成都網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認識你，你也不認識我。但先網(wǎng)站設(shè)計后付款的網(wǎng)站建設(shè)流程，更有武強免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

于ibaits參數(shù)引用可以使用#和兩種寫法，其中#寫法會采用預(yù)編譯方式，將轉(zhuǎn)義交給了數(shù)據(jù)庫，不會出現(xiàn)注入問題；如果采用兩種寫法，其中#寫法會采用預(yù)編譯方式，將轉(zhuǎn)義交給了數(shù)據(jù)庫，不會出現(xiàn)注入問題；如果采用寫法，則相當于拼接字符串，會出現(xiàn)注入問題。

例如，如果屬性值為“' or '1'='1 ”，采用#寫法沒有問題，采用寫法就會有問題。對于語句，難免要使用寫法就會有問題。對于like語句，難免要使用寫法，

1. 對于Oracle可以通過'%'||'#param#'||'%'避免；

2. 對于MySQL可以通過CONCAT('%',#param#,'%')避免；

3. MSSQL中通過'%'+#param#+'% 。

mysql: select * from t_user where name like concat('%',#name #,'%') 
oracle: select * from t_user where name like '%'||#name #||'%' 
SQL Server:select * from t_user where name like '%'+#name #+'%

關(guān)于怎么利用ibatis對sql進行注入就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。