iBatis解决sql注入 - 网站安全 - 自学php

（1）ibatis xml配置：下面的写法只是简单的转义name like '%$name$%'   （2） 这时会导致sql注入问题，比如参数name传进一个单引号[']，生成的sql语句会是：name like '%'%'   （3） 解决方法是利用字符串连接的方式来构成sql语句name like '%'||'#name#'||'%'   （4） 这样参数都会经过预编译，就不会发生sql注入问题了。   （5）#与$区别:   #xxx# 代表xxx是属性值,map里面的key或者是你的pojo对象里面的属性, ibatis会自动在它的外面加上引号,表现在sql语句是这样的where xxx = 'xxx' ;   $xxx$ 则是把xxx作为字符串拼接到你的sql语句中, 比如order by topicId , 语句这样写... order by #xxx# ibatis 就会把他翻译成order by 'topicId' （这样就会报错） 语句这样写... order by $xxx$ ibatis 就会把他翻译成order by topicId   作者2012 gogogo！！！！！！！！！

查看更多关于iBatis解决sql注入 - 网站安全 - 自学php的详细内容...