使用ibatis防止sql注入

li00lee 2011-12-19

为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。

mysql: select * from stu where name like concat('%',#name #,'%')  
     
    oracle: select * from stu where name like '%'||#name #||'%' 
     
    SQL Server:select * from stu where name like '%'+#name #+'%

如:

<!-- 用途:小二后台查询活动的数目 -->
	<!-- 频率:1000/天 -->
	<!-- 维护:刘飞 -->
	<select id="countActivitySearch" resultClass="java.lang.Long" parameterClass="actDO">
    	<![CDATA[
    		select count(id) from activity 
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
		
    </select>
    
    <!-- 用途:小二后台查询活动的列表 -->
	<!-- 频率:1000/天 -->
	<!-- 维护:刘飞 -->
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE CONCAT('%', #name#, '%')
            </isNotNull>
            <isNotNull prepend=" AND "  property="itemId">
            	itemId = #itemId#
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE CONCAT('%', #itemName#, '%')
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE CONCAT('%', #domain#, '%')
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>

不要这样来写:

<select id="searchActivityForCount" resultClass="java.lang.Long" >
    	<![CDATA[
    		select count(*) from activity
    		]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
    </select>
    
    <select id="searchActivityForList" resultMap="actResult" parameterClass="actDO">
    	<![CDATA[
    		select * from activity 
    	]]>
    	
    	<dynamic prepend="WHERE">
			<isNotNull prepend=" AND " property="name">
                name LIKE '%$name$%'
            </isNotNull>
			<isNotNull prepend=" AND " property="itemId">
                itemId LIKE '%$itemId$%'
            </isNotNull>
            <isNotNull prepend=" AND " property="itemName">
                itemName LIKE '%$itemName$%'
            </isNotNull>         
            <isNotNull prepend=" AND " property="status">
                status = #status#
            </isNotNull> 
            <isNotNull prepend=" AND " property="actStatus">
                actStatus = #actStatus#
            </isNotNull>          
            <isNotNull prepend=" AND " property="domain">
                domain LIKE '%$domain$%'
            </isNotNull>
		</dynamic>
        
    	<![CDATA[
    		order by starttime desc, createtime desc
    	    limit 
        		#startRow#, #perPageSize#	
        ]]>
    </select>
li00lee

li00lee

相关推荐

mybatis插件开发小例子

public class MyFirstPlugin implements Interceptor {. public Object intercept(Invocation invocation) throws Throwable {. System.o

Dullonjiang / 0评论 2020-01-23

ibatis和spring整合开发 例子

spring其实已经提供了支持ibatis的模板,我们只需要在配置中配置好这些文件,就可以进行相关的开发了。在这个里面我们配置了数据源其实就是连接数据库哈。txManager为事务管理器,不过这里我没有使用哈,暂且让它放在那里吧。。。。还有一个配置就是us

与卿画眉共浮生 / 0评论 2011-06-25

iBatis与 Hibernate 相同点不同点

jdbc api 编程流程固定,还将 sql语句与java 代码混杂在了一起,经常需要拼凑 sql语句,queryForObject返回单个对象;提供了自动将实体对象的属性传递给 sql语句的参数。xml配置文件中写sql语句,hibernate要比iba

yierxiansheng / 0评论 2014-06-18

赶紧的,用户已经打电话来投诉线上出问题了

如标题所示,用户资金获取失败,线上某个服务通过dubbo调用接口都返回异常。赶紧连上服务器看日志,进去一看吓到了。全部是数据库的连接获取不到,技术栈说明下。我们是dubbo远程调用,数据库连接池是druid,数据库用的是mysql。

登峰小蚁 / 0评论 2019-12-24

mybatis出现sql异常时的日志优化-打印sql参数(版本2)

版本1有个问题,必须要配置mybaitis的logimp,否则会报错。重新写了了个新版本的插件拦截器,新版本的和配不配置logimp无关系,并且代码取自mybatis中的源代码,可保证正确效果

plane / 0评论 2017-10-19

mybatis出现sql异常时的日志优化-打印sql参数

(请参考版本2,因为该版本有bug,必须要配置mybatis的日志logimp,否则会报错.

DGenerationX / 0评论 2017-10-16

JDBC、ibatis(mybatis)、Hibernate有什么不同?

①JDBC编程流程固定,同时将sql语句和java代码混在了一起,经常需要拼凑sql语句,细节很繁琐;③Hibernate对象/关系映射能力强,数据库无关性好,因为hibernate自动生成sql语句,我们无法控制该语句,我们就无法去写特定的高效率的sql

踩风火轮的乌龟 / 0评论 2019-10-23

通过插件规范程序员的开发过程(Eclipse 代码助手新功能发布)

目前的是基于Eclpse kelper SR1开发和测试的。用来比较生产版本和准备上线版本的版本差别。目前已经实现的功能是检查Ibatis的一些开发规范1:在Ibatis的select,update,delete,insert中不能插入中文代码,此尤其对一

pandapanda / 0评论 2014-05-08

spring整合ibatis事务管理

Spring通过DAO模式,提供了对iBATIS的良好支持。SqlMapClient对象是iBATIS中的主要对象,我们可以通过配置让spring来管理SqlMapClient对象的创建。看起来这些概念都与hibernate类似。Spring提供了强大的声

阿泰 / 0评论 2014-07-02

ibatis文档

准备使用 SQL Map SQL Map 架构能应用于设计不好的数据库模型甚至是设计不好的对象模型。尽管如此,您在设计数据库模型和对象模型时,还是应该遵循最佳的设计原则。这样,您会获得更好的性能和更简洁清晰的设计方案。分析什么是应用的业务对象,什么是数据模

shouen / 0评论 2016-04-26

打印mybatis的执行语句到控制台和文件

#加了如下这句,表示只有info级别的信息才会被CONSOLE接收。#会在工作空间所在的根目录生成对应的文件

bob00 / 0评论 2017-12-13

J2EE 领域的一些技术框架结构图

Spring 是一个开源框架,是为了解决企业应用程序开发复杂性而创建的。框架的主要优势之一就是其分层架构,分层架构允许您选择使用哪一个组件,同时为J2EE 应用程序开发提供集成的框架。Spring 框架的功能可以用在任何J2EE 服务器中,大多数功能也适用

whileinsist / 0评论 2012-04-07

ibatis批量导入mysql数据库

public void insertBatch(final List<WinddataBo> list) {. e.printStackTrace();e1.printStackTrace();e.printStackTrace();<!

spprogrammer / 0评论 2018-01-25

mybatis总结

iBATIS会连接到数据库,设置参数,执行语句,获取结果,然后关闭和释放资源。首先,iBATIS本身就是小巧而简单的。它不需要服务器和任何其它中间件。iBATIS不依赖于其它第三方组件。一份最小的iBATIS安装只需引用一个dll文件和244KB的磁盘空间

Coohx / 0评论 2017-12-05

ibatis和hibernate的比较

iBATIS一词来源于“internet”和“abatis”的组合,是一个由ClintonBegin在2001年发起的开放源代码项目,最初侧重于密码软件的开发,现在是一个基于Java的持久层框架。Hibernate是一个开放源代码的对象关系映射框架,它对J

AndroidOliver / 0评论 2012-05-14

缓存----Ibatis /Hibernate

lazyLoadingEnabled 延迟加载数据;cacheModelsEnabled 全局性启用或关闭SqlMapCilent cache缓存;<flushInterval seconds="60"/> <flus

BruceWayne / 0评论 2014-12-02

Mybatis Invalid bound statement (not found):.....问题

此情况是由于Mapper.xml配置文件中namespace文件位置写错导致的,特此记录!

liubang000 / 0评论 2014-05-30

iBatis入门

iBatis 是apache 的一个开源项目,一个O/R Mapping 解决方案,iBatis 最大的特点就是小巧,上手很快。如果不需要太多复杂的功能,iBatis 是能够满足你的要求又足够灵活的最简单的解决方案,现在的iBatis 已经改名为Mybat

KOJ / 0评论 2013-11-26

日志框架统一输出控制(slf4j+log4j)

不同的框架采用的默认日志框架不同,有些用的slf4j,有些用的log4j。项目中我们需要统一控制日志的打印格式和打印级别。将log4j和slf4j整合:保留原本的log4j的jar包,删除slf4j-1.5.8.jar,然后导入slf4j-api-1.5.

CXC0 / 0评论 2013-08-28

关于Ibatis 转换 oracle date类型的问题

sql_text:select distinct t.cc from aa twhere t.update_time > :1 and t.update_time < :2. 怀疑是统计信息的问题,于是重新收集了统计信息,并重新生成了执行计划,

EricRay / 0评论 2013-08-01

iBatis 到 MyBatis区别

兔子压倒窝边草 / 0评论 2013-07-26

ibatise

相当于hibernate的map文件里面写引入的实体类,和对应的操作方法,映射关系,不写对应关系。//注意这里需要保证有一个无参构造方法,因为包括Hibernate在内的映射都是使用反射的,如果没有无参构造可能会出现问题。--id表示select里的sql

wzwjr / 0评论 2015-04-03

ibatis中selectKey的用法与源码

上面是两种数据库的实现。

sunh / 0评论 2012-12-04

为什么要用 Hibernate

不需要特定SQL优化的时候适合使用,如果要批量的进行更新、删除都不适合,包括统计,这个用IBatis比。其实我一直弄不明白Hibernate的存在价值,即使它被炒得很火很多大大小小的项目都在使用。写个SQL就那么难么?习,同时还带来风险因框架引起莫名其妙的

industry0 / 0评论 2012-06-01

ibatis框架简单应用

相对于Hibernate提供了全面的数据库封装机制的“全自动化”ORM实现而言,iBATIS则是一种“半自动”的ORM实现。所谓“全自动化”ORM实现是指实现了POJO和数据库表之间的映射,以及SQL的自动生成和执行。而IBatis则不会为程序员在运行期间

sophia0 / 0评论 2013-07-29

MyBatis/Ibatis中#和$的区别

如:对于sql语句order by #user_id#,如果传入的值是111,那么解析成sql时的值为order by "111", 如果传入的值是id,则解析成的sql为order by "id"。

ItBJLan / 0评论 2013-06-13

ibatis 执行sqlserver存储过程

@userId int output,@loginName nvarchar(80),@password nvarchar(80),@company nvarchar(80),@roleId int,@isEnable tinyint,@hasCoInfo

xkf / 0评论 2011-11-29

使用Eclipse(MyEclipse)+ abator自动生成iBatis代码

修改刚才的文件abatorConfig.xml,把里面的相关“?”根据自己的实际情况替换如下,我的是这样的。

liuyacsdn / 0评论 2011-11-23

java web工程需要的各项技术等

平时在工作的时候,总是觉得刚毕业的同事们对技术的理解不到位,知其然而不知其所以然。可是,静下心来想一想,这也不能全怪他们,不是新人们不爱学,而是现如今JavaWeb开发的确很繁复。表面上看,现在会Java的人多如牛毛,SSH恨不得是每个java开发培训课的

Bruce水桶妖 / 0评论 2012-09-02

ant 的 copy 使用

这里fileset定义的是原文件的组成形式,<include/>子属性表示包括,<exclude/>子属性表示排除,很简单,通过他们组合实现多文件的筛选,当然我这个例子用得很傻。若是“appgen/”,或“appgen/**”,则会

知行天下 / 0评论 2012-08-05

Ibatis执行SQL操作把SQL打印到控制台

<?xml version="1.0" encoding="UTF-8" ?>. <!<logger name="java.sql.Statement" additivit

狼烟烽火 / 0评论 2011-08-10

ibatis基础上添加memcached缓存

在ibatis源码基础上修改,增加对memcached支持,通过配置IBatis的xml文件即可实现memcached细粒度话缓存,使用简单,缓存效果好。spring下首先初始化MemcachedManager对象,或者通过程序初始化也一样,不要用ibat

84086320 / 0评论 2011-07-14

myeclipse用svn更新或提交的时候报错: Attempted to lock an already-locked dir

xnuzfm / 0评论 2012-02-07

ibatis与hibernate

以前学习框架的时候,以为Hibernate+Spring+Struts是项目中的铁三角,在真正工作中才发现,原来不是。我们现在的项目就是用的ibatis+Spring+Struts,而且他们还是自己把struts封装了一遍,不问项目经理,还以为只用了Spr

zhangmin0 / 0评论 2012-01-02

ibatis/Mybatis实战分享与讨论

以前有类似讨论,互联网项目要用springjdbc或者ibatis不然会有种种问题,神乎其神,到底是为啥呢?hibernate到底有啥不好,做互联网项目还是先看看ibatis是个什么东东吧。ibatis主要提供了什么?数据库字段到model映射,这个通过强

Ali / 0评论 2011-12-20

Ibatis log4j设置

然后导入log4j.jar和common-logging.jar这两个JAR包 设置OK后 在控制台上就能看到执行的SQL和相关日志信息

bxqybxqy / 0评论 2011-11-27

SpringBoot + MyBatisSQL输出配置

# config: classpath:logback-spring.xmlroot或mapper包指定为DEBUG

fenqing / 0评论 2019-06-30

MyBatis SQL 热替换

* 热替换MyBatis的SQL.新增加Mapper暂时不适用.

shouwangV / 0评论 2016-02-11

利用Mybatis拦截器统计sql执行时间及打印能直接运行的sql语句

package mybatis;import java.util.Date;import java.util.List;import java.util.Locale;public class MybatisInterceptor implements I

vanseparis / 0评论 2015-10-24

mybatis和ibatis控制台打印sql语句

#将ibatislog4j运行级别调到DEBUG可以在控制台打印出ibatis运行的sql语句。###把日志信息输出到控制台###. ###显示SQL语句部分

由零开始 / 0评论 2015-04-01

spring的事务配置参考

-- 被拦截类配置,事务的粒度放在了service层 -->. -- jboss5 不支持通配符* -->. 对于上述使用web应用本身的jndi数据源,需要在webapp/META-INF目录下新建context.xml文件,并且添加文件内容

debugjoker / 0评论 2015-03-09

hibernate与ibatis整合,hibernate与jdbc整合

<property name="driverClass" value="${jdbc.driver}" />. <property name="password" value=&

fyjava1995 / 0评论 2014-12-08

spring mvc + ibatis + Oracle + ajax 轻量级架构搭建及详解

现在主流的Web MVC框架除了Struts这个主力 外,其次就是Spring MVC了,因此这也是作为一名程序员需要掌握的主流框架,框架选择多了,应对多变的需求和业务时,可实行的方案自然就多了。不过要想灵活运用Spring MVC来应对大多数的Web开发

feinifi / 0评论 2014-10-29

mybatis plugin编写

// 分离代理对象链

蜀川居 / 0评论 2014-07-16

iBatis与 Hibernate 相同点不同点

jdbc api 编程流程固定,还将 sql语句与java 代码混杂在了一起,经常需要拼凑 sql语句,queryForObject返回单个对象;提供了自动将实体对象的属性传递给 sql语句的参数。xml配置文件中写sql语句,hibernate要比iba

人圭先生 / 0评论 2014-06-18

log4j ,ibatis sql输出

log4j,一个很流行的日志功能,很多第三方插件都在使用,

wangruiling / 0评论 2014-06-07

Hibernate与IBatis的优缺点及可行性分析

上面说了部分的ibatis的优点和部分缺点。ibatis属于前者,Hibernate属于后者。但项目架构是否科学合理,是否以维护,关键 不在ibatis,因 为它只是一个数据层框架。使用ibatis需要自己写sql,由于我们的sql不可能完全符合sql标准

易鲸捷大数据库 / 0评论 2014-05-08

使用Eclipse(MyEclipse)+ abator自动生成iBatis代码以及配置文件的方法

If you've already installed a prior version of Abator for Eclipse, then simply run the Eclipse Install/Update tool and any new v

DGenerationX / 0评论 2014-03-17

Spring MVC

Spring框架是一个分层架构,由7个定义好的模块组成。Spring DAO的面向JDBC的异常遵从通用的DAO异常层次机构。所以,Spring框架支持与Struts的集成。2 开发规范中要求,所有牵涉到业务逻辑部分的数据库操作,必须在数据库层由存储过程实

liuxiamai / 0评论 2014-03-12