来源:自学PHP网 时间:2015-04-17 13:03 作者: 阅读:次
[导读] 假设用户执行select * from product where id = 5这条语句。其中5是有用户输入的。SQL注入的含义就是,一些捣蛋用户输入的不是5,而是5; delete from orders那么原来的SQL语句将会变为,select * fr.....
|
假设用户执行
select * from product where id = 5 这条语句。其中5是有用户输入的。 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from orders . 在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。 不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement s )。 上述语句会被编译为, select * from product where id=? 从而有效防止SQL注入。 不过当你使用$占位符时就要注意了。 例如:动态的选择列和表 SELECT * FROM $TABLE_NAME$ WHERE $COLUMN_NAME$ = #value# 这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。 参考资料: 【iBATIS in Action】3.5.2 SQL injection |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
