sqlmap反馈解析,sqlmap源码解读

ibatis取数据，有执行，但拿不到结果，怎么办

b as

(select a.inhospdate, a.cureno

from qpbi_admission a

where status = 5

]]

你的这个地方应该是a.status = 5

你检查一下sql其他看有错误没有。

oracle的批量插入和mysql的批量插入不一致，mybatis要怎么做兼容

方法：在系统运行过程中，针对不同数据库类型区分加载不同文件路径下的sqlmap配置。留给开发人员做的事依旧是快乐地编写原始数据库语句，而不再为多数据库兼容问题挠头。

分析问题：

1、解决ibatis多数据库兼容的问题，实际上就是让ibatis可以自动选择不同数据库sqlmap配置文件。

2、打开ibatis源码工程并进行代码跟踪，最终定位到com.ibatis.sqlmap.engine.builder.xml.SqlMapConfigParser.java处，系统中运行的sqlmap节点均从这里统一转化加载的。

3、很明显SqlMapConfigParser源码中的addSqlMapNodelets负责解析“/sqlMapConfig/sqlMap”路径，即也就是sqlmap文件路径。

4、要实现“多数据库兼容”，这里改造下这个方法即可。

解决方法：

1、首选我们在setting节点新增一个“DBProductName”用于判断数据库种类。当然通过java.sql.DatabaseMetaData也可以获得,但这太依赖于jdbc驱动，还是手动配置保险。

2、重构SqlMapConfigParser的addSqlMapNodelets方法。

" 1）首选获得单个sqlmap文件的位置,如 sqlmap主目录\XXX.xml；

2）依据上面设置的DBProductName属性值获得数据库类型；

3）将sqlmap的文件路径重定位到运行数据库类型文件下。如 sqlmap主目录\mysql\XXX.xml，代表程序当前运行于msql数据库上，并加载系统mysql数据库对应的 sqlmap文件"

4、ok，现在ibatis支持“多数据库兼容”了（完整源码见附件）。

使用方法：

1、编译SqlMapConfigParser.java生成可运行文件SqlMapConfigParser.class（见附件），并将其覆盖添加到ibatis.jar中。

2、在系统sqlmap配置文件存放主目录如src\conf\mapping添加多数据库兼容支持的子目录，如src\conf\mapping\mysql,src\conf\mapping\oracle等

3、以实际项目需要编写多数据库sqlmap配置文件。注意：不同数据库类型需要确保具有相同的sqlmap配置文件名和sql节点名

4、在ibatis主配置文件（如sql-map-config.xml）中，setting指定当前程序运行数据库类型

哪位大神能告诉我什么是sql注入？讲的通俗易懂些，百度的资料都看过了，还有如何用sqlmap进行sql注入？

一般开发，肯定是在前台有两个输入框，一个用户名，一个密码，会在后台里，读取前台传入的这两个参数，拼成一段SQL，例如： select count(1) from tab where usesr=userinput and pass = passinput,把这段SQL连接数据后，看这个用户名/密码是否存在，如果存在的话，就可以登陆成功了，如果不存在，就报一个登陆失败的错误。对吧。

但是有这样的情况，这段SQL是根据用户输入拼出来，如果用户故意输入可以让后台解析失败的字符串，这就是SQL注入，例如，用户在输入密码的时候，输入 '''' ' or 1=1'', 这样，后台的程序在解析的时候，拼成的SQL语句，可能是这样的： select count(1) from tab where user=userinput and pass='' or 1=1; 看这条语句，可以知道，在解析之后，用户没有输入密码，加了一个恒等的条件 1=1，这样，这段SQL执行的时候，返回的 count值肯定大于1的，如果程序的逻辑没加过多的判断，这样就能够使用用户名 userinput登陆，而不需要密码。

防止SQL注入，首先要对密码输入中的单引号进行过滤，再在后面加其它的逻辑判断，或者不用这样的动态SQL拼。