<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.mybatis.config.UserDao">
<select id="findUser" parameterType="int" resultType="com.mybatis.config.User">
select * from user where 0=0
<if test="userName != null">
and userName = #{userName,jdbcType=VARCHAR}
</if>
<if test="password != null">
and password = #{password,jdbcType=VARCHAR}
</if>
<if test="comment != null">
and comment = #{comment,jdbcType=VARCHAR}
</if>
</select>
</mapper>现在有个需求,就是根据表的任何属性来查询查找记录,项目没有用到hibernate,想用mybatis来做,我想问的就是:下面这样的配置会有被注入的危险么?因为mybatis的sql好像也是拼出来的。
#{password,jdbcType=VARCHAR} 会在mapper时 自动用?替代 即用占位符
${password} 这种是有sql注入问题 因为是直接拼字符串方式实现
防sql注入更重要的是加强对代码安全性的控制,在服务端正式处理之前对每个被提交的参数进行合法性检查,以从根源上解决注入问题。
[quote]#{password,jdbcType=VARCHAR} 会在mapper时 自动用?替代 即用占位符
${password} 这种是有sql注入问题 因为是直接拼字符串方式实现
[/quote]同意 :idea:
最少也做个MD5加盐处理吧,太不安全了。
ibatis应该能够避免这种SQL注入吧,占位符将会以输入的字符串替换,类似:
and userName = ‘select * ...’,而不会被加入到sql语句功能中。呵呵,不知道我理解的对不对。
为什么要在前台拼接sql为什么不到后台处理呢