jdbc动态条件查询防止sql注入的解决方案

最新推荐文章于 2024-03-12 16:53:55 发布
最新推荐文章于 2024-03-12 16:53:55 发布
阅读量4.6k 收藏 1
点赞数 2
分类专栏: java 文章标签: mysql 解决方案 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devnn/article/details/54029777
版权

问题场景:这里的动态查询是指,select语句的某一个或多个查询条件是这种情况:不限或指定值。不限就是这个条件要去掉,指定值就是这个条件必须要。

比如你会看到买房子的网站的查询选项是这样的:

  • 地区:不限或北京、上海、…。(下拉选项)
  • 类型:不限或二手房或新房。(下拉选项)
  • 户型:不限或三室一厅、三室二厅、二室一厅、…。(下拉选项)

也可能还有更多的条件。

分析:如果地区条件用户选不限,sql查询的where语句中地区条件就不能要,如果选北京或某个城市,地区条件要就加上。其它条件也是这样。这种情况下,sql语句不是固定的,怎么办?

解决方案:

一.动态拼接sql语句。(不推荐)

这种方法不安全,因为会有sql注入的风险。在java的jdbc中动态拼接sql语句因为其中?号这种替代符的位置和数目不是固定的,因此不能使用preparedStatement来防止sql注入。

二.写存储过程。(推荐)

存储过程不仅可以解决动态sql语句的问题,还能有效解决sql注入的问题。

比如上面提到的这个例子,写一个查询的存储过程

DELIMITER &&
create PROCEDURE get_houses_by_conditions(IN p_city varchar(30),IN p_type INTIN p_layout INT)
begin
select * from `tb_house` house where (house.`city` = p_city or p_city is null) and (house.`type` =p_type or p_type is null ) and (house.`layout` =p_layout or p_layout is null );
end
&&

城市这个参数实际可能是INT类型的,这里只是举个例子。实际情况下,还要加上limit来做分页,这个也不要纠结。

调用的时候,参数可以传NULL或某个指定值,比如:

查询所有不限条件的房子:
call get_houses_by_conditions(NULL,NULL,NULL);

查询北京的所有房子:
call get_houses_by_conditions(‘北京’,NULL,NULL);

使用JDBC操作数据库时,因为要使用PreparedStatement来防止sql注入,那么sql语句就可以这么写了
String sql=”call get_houses_by_conditions(?,?,?);”
然后根据用户的选择,我们将问号通配符替换成NULL或具体值。

附上删除存储过程的代码
DELIMITER &&
DROP PROCEDURE get_houses_by_conditions;
&&

devnn
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入漏洞过程实例及解决方案
12-14
代码示例: public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login("aaa' OR ' ","1651561"); //若已知用户名,用这种方式便可不用知道密码就可登陆成功 if (flag){ System.out.println("登陆成功"); }else{ System.out.println("登陆失败"); } } public static boolean login(String username,String p
【MyBatis Plus】深入探索 MyBatis Plus 的条件构造器,自定义 SQL语句,Service 接口的实现
qq_61635026的博客
10-27 3040
在前文,介绍了 MyBatis Plus 的一些基础功能,我们发现使用MyBatis Plus 可以非常简单的就实现对单表的增删改查操作。但是这些操作对应的 SQL 语句都非常简单,如果是面对一些复杂的 SQL 或者多表查询这样的情况,就需要我们自己来重新组织 SQL 语句了。本文将重点探索 MyBatis Plus 的条件构造器、自定义SQL语句来解决这些复杂情况,然后实现 MyBatis Plus 提供的通用的 Service 接口,以展示如何在项目使用 MyBatis Plus。
SQL注入的场景复现和解决方案
最新发布
欢迎来到 ABin-阿斌的博客:写一生代码,创一世佳话,筑一览芳华。
03-12 948
SQL注入SQL Injection)是一种常见的网络攻击技术,它利用应用程序没有正确过滤用户输入的数据,将恶意的 SQL 代码注入到应用程序执行,从而导致应用程序的安全性受到威胁。通简单来说,就是通过构造恶意的 SQL 语句,将恶意代码注入到应用程序执行,从而实现各种攻击手段。
jdbcTemplate动态查询防止sql注入实现
佳佳乐的博客
03-06 4538
使用jdbcTemplate.update(sql, array); 防止sql注入 public Object updateCarGroup(CarGroupInfo carGroupInfo) { try { List<Object> param = new ArrayList<>(); String sql = "UPDATE car_grou...
JDBC实现SQL动态查询
hezy_liunian的博客
11-18 1982
第一步(创建一个类JdbcAdvanced) 我们先创建一个主方法main: public static void main(String[] args){ } 第二步 然后创建一个Department类获取数据库departments的内容数据,如下: package cm.hezy; public class Department { private int departmentId; private String departmentName; private int loca
MyBatis-Plus的查询条件构造器的一个注意事项
Clean Coder
08-16 1024
思路比结论重要
使用jdbc拼接条件查询语句时如何防止sql注入
云端笑猿的博客
04-27 2336
本人微信公众号,欢迎扫码关注! 使用jdbc拼接条件查询语句时如何防止sql注入 最近公司的项目在上线时需要进行安全扫描,但是有几个项目含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接的SQL语句,真是令人抓狂。 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思...
JAVA安全之SQL注入
天天学安全专属博客
03-22 306
JAVA安全之SQL注入
JDBCSQL注入
每日一记,每周一结。
10-07 598
PreparedStatement 是 Statement 接口的子接口,继承于父接口所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象。然后可以使用此对象多次高效地执行该语句。
JDBC-API详解、SQL注入演示、连接池
树叶子的博客
02-24 843
在开发我们使用的是java语言,那么势必要通过java语言操作数据库的数据。这就是接下来要学习的JDBC。Statement对象的作用就是用来执行SQL语句。而针对不同类型的SQL语句使用的方法也不一样。执行DDL、DML语句执行DQL语句该方法涉及到了ResultSet对象,而这个对象我们还没有学习,一会再重点讲解。封装了SQL查询语句的结果。ResultSet executeQuery(sql) :执行DQL 语句,返回 ResultSet 对象那么我们就需要从ResultSet。
JavaSQL注入简易分析
鸣蜩十四的博客
08-04 3230
JavaJDBC与MybatisSQL注入简易分析
sql注入和防SQL注入
07-06
SQL注入,详细讲解如何进行sql注入和如何防止sql注入,非常实用,推荐给大家,希望大家喜欢
JDBC(powernode CD2206)详尽版 (教学视频、源代码、SQL文件)
01-27
7.3 解决方案 7.4 PreparedStatement接口 7.5 PreparedStatement如何解决SQL注入 7.6 使用PreparedStatement改进代码,解决SQL注入问题 八、编写JDBC工具类 九、CRUD操作 十、事务操作 十一、批处理 11.1 jdbc....
Mycat2数据库间件-其他
06-11
支持密码加密支持服务降级支持IP白名单支持SQL黑名单、sql注入攻击拦截支持分表(1.6)集群基于ZooKeeper管理,在线升级,扩容,智能优化,大数据处理(2.0开发版)。优点:1、基于阿里巴巴的开源项目Cobar,其稳定...
Mycat-server-1.6-RELEASE源码
10-16
支持SQL黑名单、sql注入攻击拦截 支持prepare预编译指令(1.6) 支持非堆内存(Direct Memory)聚合计算(1.6) 支持PostgreSQL的native协议(1.6) 支持mysql和oracle存储过程,out参数、多结果集返回(1.6) 支持...
03开源NewSql数据库TiDB-Deep Dive into TiDB
12-14
但是还不够完善,在 2.0 版本,一方面优化统计信息的精确度以及更新及时程度,另一方面提升 SQL 优化器的能力,对查询代价的估算更加精准、对复杂过滤条件的分析更加细致、对关联子查询的处理更加优雅、对物理算子...
@Transient 禁止实体类字段生成数据库字段
weixin_39102174的博客
07-15 788
转载地址:https://blog.csdn.net/OrangQceee/article/details/80446441 @Transient 注解加在实体类字段上,防止字段序列化,也不会在数据库生成相应的字段
mybatis-plus---条件构造器是如何解决sql注入
李晨璐的博客
04-30 2054
项目在使用mybaits-plus时,会产生mybaits-plus时如何解决sql注入的疑问,下面就让我们一探究竟! 以下代码是往条件构造器赋值 Map<String, Object> conditionMap = new HashMap<>(); if (StringUtils.isNotBlank(ruleName)) { conditionMap.put("rule_name", ruleName); .
SQL注入
热门推荐
m0_51457307的博客
11-08 1万+
一、什么是SQL注入 SQL注入SQL lnjection)是发生在Web程序数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串添加SQL语句,如果在设计不良的程序忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: ...总之,为了防止SQL注入攻击,我们需要使用预处理语句、参数化查询、过滤用户输入和限制数据库用户权限等多种方法,从多个层面保证数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值