mybatis sql 如何去注入

        网上搜索了很多关于mybatis sql  注入的 出来的基本都是如何防止sql注入，好奇心驱使下，非常想知道如何注入的，研究一番后终于针对like成功了注入了一次。特别说明本次注入是针对mybaits代码中使用了like的语句

先看以下代码 

数据库中有 账号admin 和 密码aaaaaa这样一个账号

假设这个就是登录代码 (在登录时很大概率不会是这样的代码，这里主要是用来说明like)

正确情况下 即便account就输入一个字母a 你不知道密码  也登录不了 

但是通过SQL注入 只需要输入admin 和 任意一个密码 都能登录，如何做到的呢？

OK  下面进入正题

1、首先我们看下正确情况登录成功时，mybatis的执行语句

此时输入的是admin + aaaaaa 注意其中的Parameters 只有一个

2、假如我们输入 admin + 123456

此时是登录失败的，返回账号密码错误 

3、假如我们输入admin%25' or account = '  + 123456

显示登录成功。

为什么呢？

注意这里${account}和#{password}

这里就是利用了mybatis对#进行预编译 但是对$是不进行预编译的  而只是进行sql拼接 所以就造成了sql注入的发生

那如何解决呢  

用 concat('%',#{account}, '%')  代替 '%${account}%'

这样使得还是使用#进行了预编译

所以最后sql这样写 就不会有sql注入了