iBatis如何有效防止SQL注入攻击？

本文共计440个文字，预计阅读时间需要2分钟。

这种写法类似于下述SQL语句：

sqlSELECT * FROM table_name WHERE name LIKE '%search_term%'

类似下列这种写法是采用preparedStatement实现，是不会引起sql注入的

<isNotEmpty prepend="AND" property="name"> name like #name# </isNotEmpty>

但是它跟

<isNotEmpty prepend="AND" property="name"> name = #name# </isNotEmpty>

没有区别，没有实现模糊查询，实现模糊查询的简单方法是这样：

<isNotEmpty prepend="AND" property="name"> name like '%$name$%' </isNotEmpty>

但这时会导致sql注入问题，比如参数name传进一个单引号“'”，生成的sql语句会是：

name like '%'%'

这样肯定是会报错的，解决方法是利用字符串连接的方式来构成sql语句，如下：

<isNotEmpty prepend="AND" property="name"> name like '%'||'#name#'||'%' </isNotEmpty>

（“||”是Oracle中连接字符串的方法，MSSQL中是用加号，MySQL中是用CONCAT）

这样参数都会经过预编译，就不会发生sql注入问题了。

----------------------

对于ibaits参数引用可以使用#和$两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会出现注入问题；如果采用$写法，则相当于拼接字符串，会出现注入问题。

例如，如果属性值为“' or '1'='1”，采用#写法没有问题，采用$写法就会有问题。

对于like语句，难免要使用$写法，

1. 对于Oracle可以通过'%'||'#param#'||'%'避免；

2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免；

'%'+#param#+'%。

如下3种SQL语句：

1. mysql: select * from t_user where name like concat('%',#name #,'%') 2. 3. oracle: select * from t_user where name like '%'||#name #||'%' 4. 5. SQL Server:select * from t_user where name like '%'+#name #+'%