使用druid连接池，配置sql防火墙发现的sql注入问题

druid

阿里云计算平台DataWorks(https://help.aliyun.com/document_detail/137663.html) 团队出品，为监控而生的数据库连接池

项目地址：https://gitcode.com/gh_mirrors/druid/druid

免费下载资源

ThreeOO

9570人浏览 · 2015-08-13 13:46:40

ThreeOO · 2015-08-13 13:46:40 发布

最近在使用druid连接池，同时也配置了web和spring的关联监控，检测到select * from tables param like #{param1} “%”的语句被拦截了。做个笔记。

解决方法有两种：
一、 select * from tables param like concat(${param1},”%”)。
二、传入参数的时候动态拼接 param1=param1+”%”;
select * from tables param like #{param1}。

Mybatis3 防止SQL注入

#{xxx}，使用的是PreparedStatement，会有类型转换，所以比较安全；

${xxx}，使用字符串拼接，可以SQL注入；

like查询不小心会有漏动，正确写法如下：
Mysql: select * from tables where param like concat(‘%’, #{param1}, ‘%’)
Oracle: select * from t_user where param like ‘%’ || #{param1} || ‘%’
SQLServer: select * from t_user where param like ‘%’ + #{param1} + ‘%’