今天親自試了一把����,原來ibatis中的$是如此的危險(xiǎn)�,如果你用$的話��,很可能就會(huì)被sql注入!!!
所以:
使用:select * from t_user where name like '%'||#name #||'%'
禁用:select * from t_user where name like '%'||'$name$'||'%'
解釋:
預(yù)編譯語句已經(jīng)對(duì)oracle的特殊字符單引號(hào)�,進(jìn)行了轉(zhuǎn)義。即將單引號(hào)視為查詢內(nèi)容�����,而不是字符串的分界符���。
由于SQL注入其實(shí)就是借助于特殊字符單引號(hào)�,生成or 1= 1這種格式的sql����。預(yù)編譯已經(jīng)對(duì)單引號(hào)進(jìn)行了處理���,所以可以防止SQL注入
更多信息請(qǐng)查看IT技術(shù)專欄
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考���,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)����!
公眾號(hào)
事業(yè)單位
當(dāng)前位置:
公考類
招聘類
各類考試
