看《ibatis in action》，里面提到了使用iBatis like查询的时候，会有注入漏洞。举例说明如下：

Xml代码

    
    select     
          *     
    from tbl_school     
    where school_name like '%$name$%'     
    

Java代码

    
    select     
          *     
    from tbl_school     
    where school_name like '%$name$%'     
    

   测试用例：

Java代码

@Test    
public void print(){     
        try{     
            List list = schoolDao.getSchoolByName("长乐一中%' or '1%' = '1");     
            for(School school : list){     
                System.out.println(school.getName());     
            }     
        }catch(Exception e){     
            e.printStackTrace();     
        }     
    }    

    用p6spy查看最后生成的sql语句：

Sql代码

sql1：select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'        
    
sql2：select  * from tbl_school where school_name like '%长乐一中%' or '1%' = '1%'    

 其中：sql1是ibatis放入preparedstatement执行的sql，sql2是jdbc执行的真正sql,在这个例子里二者一样的，因为在map里使用的占位符是$name$，ibatis遇到这样的占位符,就直接拼sql语句了，而不是用在sql中使用占位符再给sql set paramter(用#name#的话就是，但是不能用来搞模糊查询)。

在实际项目中的后果就是：如果在页面上有个输入框，让用户输入学校名字，用户输入 长乐一中%' or '1%' = '1 的字样，那程序就会把所有的学校结果都列出来。实际上可能有一些学校已经被删除掉了(使用某个字段标记，假删除)，不想让用户再看到或者某些学校信息当前用户没有权限看到。

 在《ibatis in action》里，通过iBatis like查询，例举了这个注入漏洞一个更可怕的后果，删表。修改测试用例如下：

Java代码

@Test        
public void print(){     
        try{     
            List list = schoolDao.getSchoolByName("长乐一中';drop table tbl_test;#");     
            for(School school : list){     
                System.out.println(school.getName());     
            }     
        }catch(Exception e){     
            e.printStackTrace();     
        }     
    }    

用p6spy查看最后生成的sql语句：

Sql代码

select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'     
select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'   

在mysql中，#是注释符.复制以下sql代码在phpmyadmin中执行，tbl_test确实被删掉了。但是用ibatis执行这句sql却失败，debug了下ibatis的源代码，发现ibatis是用preparedstatement执行查询的。上面的是两个sql语句，但ibatis直接把“select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'”这句sql放进去执行，差不多下面这样：

Java代码

String sql = "select * from tbl_school where school_name like '%长乐一中';drop table tbl_test;#%'"    
    
PreparedStatement ps = conn.prepareStatement(sql);     
    
ps.execute();    

这样的执行就会报错，也就删除不了tbl_test这张表了。。。奇怪了。。难道《ibatis in action》这书上讲错了？ 以上代码都是在ibatis2.3.4的环境下测试的。没试过以前的版本。。 难道就不能用iBatis like查询了？或者要在web层或者service层对用户的输入条件作一次过滤么？太麻烦了。还好ibatis提供的另一种占位符#在用PreparedStatement执行查询的时候，是用？作占位符，然后set paramter的。。把map里的sql语句改成这样吧：（参考了网上的sql语句）

Sql代码

mysql: select * from tbl_school where school_name like concat('%',#name#,'%')     
    
oracle: select * from tbl_school where school_name like '%'||#name#||'%'    
    
SQL Server:select * from tbl_school where school_name like '%'+#name#+'%'  

【编辑推荐】

1. ibatis官方提示文档中的错误
2. iBATIS特性之七大方面详谈
3. iBATIS事务处理浅析
4. 简单三步走堵死SQL Server注入漏洞
5. PHP-Nuke存在远程SQL注入漏洞 后台数据库堪忧