在ibatis中应用$value$引入变量会引入SQLInjection漏洞

2012-09-05

在ibatis中使用$value$引入变量会引入SQLInjection漏洞(1)sql语法中的_关键字_.如果sql语句中出现存在用户

在ibatis中使用$value$引入变量会引入SQLInjection漏洞

(1)sql语法中的_关键字_.如果sql语句中出现存在用户输入的关键字.
比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by TABLE_NAME $ordertype$
其中ordertype为用户输入的ASC,DESC.对这种关键字请使用 $ordertype:SQLKEYWORD$替换 $ordertype$ .
(2)sql语句中的_元数据_.如果sql语句中存在用户输入的元数据.表名,字段名等等.

比如以下sql: select TABLE_NAME,TABLESPACE_NAME from user_tables order by $orderByColumn$ .

其中orderByColumn是数据库中的字段. 对这种元数据的请使用:$orderByColumn:METADATA$替换$orderByColumn$.

热点排行

SQL SEVER 2008安装后出现的2个范例的区
请问SQL批量修改数据库语句
sql服务无法启动,该怎么处理
问个弱智的有关问题：主键一定是索引
【题外话】与数据库有些相关，关于Hadoo
下井次数计算sql解决方法
SQL Server 2000与用友ERP连接,该怎么处
散分,祝贺各位快了
关于时间段的求和解决方案
部分重复字段的有关问题

SQL Server

在ibatis中应用$value$引入变量会引入SQLInjection漏洞