Ibatis 解决SQL 注入问题
常见容易犯错的写法:
title like '%$title$%'
这样会引起SQL注入漏洞.
解决方法:
title like '%'||#title#||'%'
注意:以上写法在oracle使用。
在mysql中,用这个: title CONCAT('%',#title#,'%')
在mssql中,用这个: '%'+#name #+'%
发布时间: 2012-09-09 09:27:54 作者: rapoo
Ibatis 解决SQL 注入问题
常见容易犯错的写法:
title like '%$title$%'
这样会引起SQL注入漏洞.
解决方法:
title like '%'||#title#||'%'
注意:以上写法在oracle使用。
在mysql中,用这个: title CONCAT('%',#title#,'%')
在mssql中,用这个: '%'+#name #+'%