斌斌 ?( 給我寫信 ) 原創博文（http://blog.csdn.net/binbinxyz），轉載請注明 出處 ！

背景： 對于ibaits參數引用可以使用#和$兩種寫法，其中#寫法會采用預編譯方式，將轉義交給了數據庫，不會出現注入問題；如果采用$寫法，則相當于拼接字符串，會出現注入問題。

在使用ibatis時，我們的查詢一般按如下寫法進行配置。

    <!-- sql 1 -->

<select id="selectAll"  resultClass="EMP" parameterClass="EMP">

 SELECT * FROM EMP WHERE NAME=#name#

</select>
  

這個SQL語句的作用是查詢EMP表中名稱為name的所有信息，是個精確查詢。這種寫法是采用PreparedStatement實現的，所以沒有sql注入的風險。如果上述的查詢是模糊查詢，是不是可以按如下寫法修改呢？

    <!-- sql 2 -->

<select id="selectAll"  resultClass="EMP" parameterClass="EMP">

 SELECT * FROM EMP WHERE NAME LIKE #name#

</select>
  

答案是否定的，因為以上兩種寫法的作用其實是完全一樣的。模糊查詢的一種簡單實現如下：

    <!-- sql 3 -->

<select id="selectAll"  resultClass="EMP" parameterClass="EMP">

 SELECT * FROM EMP WHERE NAME LIKE '%$name$%'

</select>
  

但此時會導致sql注入問題，比如參數name傳進"12345%' or '1%' = '1"，生成的sql語句會是：

    SELECT * FROM EMP WHERE NAME='%12345%' or '1%' = '1%'
  

盡管name不一定匹配，但是or后面那句是恒等的，所以還是可以查出EMP中所有的記錄。
解決方案：

    <!-- sql 4.1 oracle -->

<select id="selectAll"  resultClass="EMP" parameterClass="EMP">

 SELECT * FROM EMP WHERE NAME LIKE '%'||#name#||'%'

</select>

<!-- sql 4.2 mysql -->

<select id="selectAll"  resultClass="EMP" parameterClass="EMP">

 SELECT * FROM EMP WHERE NAME LIKE CONCAT('%', #name#, '%')

</select>
  

斌斌 ?( 給我寫信 ) 原創博文（http://blog.csdn.net/binbinxyz），轉載請注明 出處 ！

SQL注入問題