ibatis sql注入

转自：http://blog.csdn.net/scorpio3k/article/details/7610973

对于ibaits参数引用可以使用#和$两种写法，其中#写法会采用预编译方式，将转义交给了数据库，不会出现注入问题；如果采用$写法，则相当于拼接字符串，会出现注入问题。

例如：1）#xxx# 代表xxx是属性值、map里面的key或者是你的pojo对象里面的属性， ibatis会自动在它的外面加上引号，表现在sql语句是这样的where xxx = 'xxx' ;

2）$xxx$ 则是把xxx作为字符串拼接到你的sql语句中，如order by $xxx$ ， ibatis 就会把他翻译成order by xxx

注入问题：

例如，如果属性值为“' or '1'='1 ”，采用#写法没有问题，采用$写法就会有问题。

对于like语句，难免要使用$写法，

 1. 对于Oracle可以通过'%'||'#param#'||'%'避免；

 2. 对于MySQL可以通过CONCAT('%',#param#,'%')避免；

 3. MSSQL中通过'%'+#param#+'% 。 

如下3种SQL语句：