xml中的SQL注入
Posted ermei
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了xml中的SQL注入相关的知识,希望对你有一定的参考价值。
大家通常知道xml中大部分会导致外部实体注入,但是,xml也会出现SQL注入;
在xml中正常的sql语句写法有两种:
第一:
<select id="selectById" resultType="bean.user" >
select * from users where id = #id#</select>
第二:
<select id="selectById" resultType="bean.user" >
select * from users where id = ‘$id$‘</select>
在使用第一种写法的时候,id的value会以参数的形式注入到sql语句中,类似于预编译;
但是使用第二种写法的时候,id的value就会以字符串的形式直接插入到sql语句中,从而很容易导致sql注入。
以上是关于xml中的SQL注入的主要内容,如果未能解决你的问题,请参考以下文章