首 页
企业简介
项目案例
万博安卓版定制
行业万博安卓版
解决方案
下载中心
服务专区
客服中心
服务项目
案例展示
联系人:李先生
电  话:029-87878512
手  机:13468700578
地  址:西安市太白北路1号
在线咨询:
 
当前的位置 >> 返回首页 >> 解决方案
万博安卓版_万博manbetx水晶宫_万博manbetx官网网页
发布者:西安万博安卓版公司   发布时间:2013-6-26   阅读:5次

万博安卓版_万博manbetx水晶宫_万博manbetx官网网页

(1) ibatis xml配置:下面的写法只是简单的转义 name like '%$name$%'

(2) 这时会导致sql注入问题,比如参数name传进一个单引号“'”,生成的sql语句会是:name like '%'%'

(3) 解决方法是利用字符串连接的方式来构成sql语句 name like '%'||'#name#'||'%'

(4) 这样参数都会经过预编译,就不会发生sql注入问题了。

(5) #与$区别:

#xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的 where xxx = 'xxx' ;

$xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如 order by topicId , 语句这样写 ... order by #xxx# ibatis 就会把他翻译成 order by 'topicId' (这样就会报错) 语句这样写 ... order by $xxx$ ibatis 就会把他翻译成 order by topicId


网站首页 | 关于我们 | 售后服务 | 网站地图 | 查看留言 | 在线留言 | 客服中心
© 版权所有:西安润宇万博安卓版科技有限公司 
公司地址:西安市太白北路1号 联系电话:029-87878512 手机:13468700578 联系人:李先生
Copyright ® 2009-2017 Xbwbw.com Inc. All Rights Reserved 
技术支持:西安润宇万博安卓版科技有限公司 陕ICP备 11000720号-2