怎么利用ibatis对sql进行注入

这篇文章将为大家详细讲解有关怎么利用ibatis对sql进行注入，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

于ibaits参数引用可以使用#和两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会出现注入问题；如果采用两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会出现注入问题；如果采用写法，则相当于拼接字符串，会出现注入问题。

例如，如果属性值为“' or '1'='1 ”，采用#写法没有问题，采用写法就会有问题。对于语句，难免要使用写法就会有问题。对于like语句，难免要使用写法，

1. 对于Oracle可以通过'%'||'#param#'||'%'避免；

2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免；

3. MSSQL中通过'%'+#param#+'% 。

mysql: select * from t_user where name like concat('%',#name #,'%') 
oracle: select * from t_user where name like '%'||#name #||'%' 
SQL Server:select * from t_user where name like '%'+#name #+'%

关于怎么利用ibatis对sql进行注入就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。