2 qq 28742107 qq_28742107 于 2016.05.12 10:48 提问

Mybatis SQL注入示例的问题

请举个例子,Mybatis怎样会出现SQL注入的问题?
应用$符号有SQL注入的风险,请问下SQL注入怎么实现?

2个回答

caozhy
caozhy   Ds   Rxr 2016.05.12 13:45

select * from table where id= ${id}
如果id是 1 or 1=1
则会查询所有的数据出来。

应该用#代替$
qq_28742107
qq_28742107 这样做查询结果为空的,因为or没有编译, 1 or 1=1当做完整的字符串传入了,还是没有达到有效的注入
一年多之前 回复
CSDNXIAOS
CSDNXIAOS   2016.05.12 10:52

sql注入大家都不陌生,是一种常见的攻击方式,攻击者在界面的表单信息或url上输入一些奇怪的sql片段,例如“or ‘1’=’1’”这样的语句,有可能入侵参数校验不足的应用程序。所以在我们的应用中需要做一些工作,来防备这样的攻击方式。在一些安全性很高的应用中,比如银行软件,经常使用将sql语句全部替换为存储过程这样的方式,来防止sql注入,这当然是一种很安全的方式,但我们平时开发中,可能不需要这种......
答案就在这里:mybatis的sql注入问题
----------------------Hi,地球人,我是问答机器人小S,上面的内容就是我狂拽酷炫叼炸天的答案,除了赞同,你还有别的选择吗?

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!