SQL语句规避拼接风险的转换方式

最新推荐文章于 2023-05-16 12:10:15 发布
最新推荐文章于 2023-05-16 12:10:15 发布
阅读量376 收藏
点赞数 1
文章标签: java sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/New4eva/article/details/110878093
版权
本文介绍了如何使用参数化查询和动态SQL来避免SQL注入风险。通过示例展示了在Java中如何利用StringBuilder或StringBuffer进行安全的SQL语句拼接,以及在搜索条件中使用like操作符时的注意事项,确保了查询的安全性和灵活性。
摘要由CSDN通过智能技术生成

SQL语句规避拼接风险的转换方式

List<Example> ExampleList= null;
       try {
			String sql =" select * from demo where status!=-1";

            if (StringUtils.isNotEmpty(example)) {
                sql+=" and example='"+example+"'";
            }
            ExampleList= this.getMainDbOperator().findPageCamelCase(sql, Example.class);

常见的sql语句中的“+”在拼接字段与参数时 会产生SQL注入相关风险

  • 为了规避风险 需要用到以下的转换方式
//获取所有内容列表
public List<Example> getExampleList(Integer exampleNum,String exampleName, Integer page, Integer pageSize){
		List<Example> ExampleList=null;
        List<Object> params=new ArrayList<>();
        try { 
            String sql=" select * from demo ";
            StringBuffer tempSql = new StringBuffer(sql);
            tempSql=hangSearch( tempSql,params,exampleNum, exampleName,type);
            //hangSearch 为搜索条件类 用来设置sql语句,参数以及其他搜索条件
            tempSql.append(" order by create_time desc");
            ExampleList=this.getMainDbOperator().findPageCamelCase(tempSql.toString(),Example.class,page,pageSize,params.toArray());
        }catch (Exception e){
            logger.error("获取列表出现异常",e);
        }
        return ExampleList;
    }

//获取所有内容总数
 public Long getExampleTotal(Integer exampleNum,String exampleName){
        List<Object> params=new ArrayList<>();
        Long total=0L;
        try {
            String sql=" select count(*) from demo  ";
            StringBuffer tempSql = new StringBuffer(sql);
            tempSql=hangSearch( tempSql, params,exampleNum, exampleName);
            total=this.getMainDbOperator().queryLong(tempSql.toString(),params.toArray());
        }catch (Exception e){
            logger.error("获取总数出现异常",e);
        }
        return total;
    }

/**
     * 搜索条件类
     * @param tempSql sql语句
     * @param params 参数
     * @param exampleNum 数字例名
     * @param exampleName 字符例名
     * @return sql语句
     * @author Vincent
     * @since 2020/12/08
     */
     public StringBuffer hangSearch(StringBuffer tempSql,List<Object> params,Integer exampleNum,String exampleName){
        tempSql.append(" where status <>? ");
        params.add(ConstCommon.DELETE);
        if(exampleNum!=null){
            tempSql.append(" and example_num=? ");
            params.add(exampleNum);
        }
        if(StringUtils.isNotEmpty(exampleName)){
            tempSql.append(" and example_name=? ");
            params.add(exampleName);
        }
        return tempSql;
    }

若需要变为关键词搜索 也可以转换为like形式

		if(exampleNum!=null){
            tempSql.append(" and example_num like ?");
            params.add("%"+exampleNum+"%");
        }
		if(StringUtils.isNotEmpty(exampleName)){
            tempSql.append(" and example_name like ?");
            params.add("%"+exampleName+"%");
        }
       
        return tempSql;
    }

希望对正在努力的你有所帮助!

VincentFanC
关注
【硬刚大数据之面试篇】2021年从零到大数据专家面试篇之SparkSQL
微信搜:import_bigdata,大数据领域硬核原创作者
07-28 1563
????欢迎关注博客主页:https://blog.csdn.net/u013411339 ????欢迎点赞 ???? 收藏 ⭐留言 ???? ,欢迎留言交流! ????本文由【王知无】原创,首发于 CSDN博客! ????本文首发CSDN论坛,未经过官方和本人允许,严禁转载! 本文是对《【硬刚大数据之学习路线篇】2021年从零到大数据专家的学习指南(全面升级版)》的面试部分补充。 硬刚大数据系列文章链接: 2021年从零到大数据专家的学习指南(全面升级版) 2021年从零到大数据专家面试篇之H
SQL注入实例:避免后端SQL语句拼接操作
李谦的博客
05-23 8859
1 实例-后端逻辑 以下是基于pymysql的一个例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db='user_table', charset='utf-8') cursor = conn.cursor() def query_key...
禁止在代码中进行SQL拼接操作
hzp666的博客
02-14 1261
1.字符串操作更容易出错。 2.sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3.效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句错误的.如果使用类库提供的方法来设置参数,可以在编译时就设定参数的类型. 5. 倘若之后要修改sql语句,比如where条件里要多...
java delegate怎么写_Java开发的菜鸟们,快来看一下你的sql拼接是怎么写的
weixin_39806603的博客
11-21 94
我们看下面几行简单的代码String sql = "select * from user where id=" + id;一行中,id进行了直接的拼接,那么id这个参数会通过用户来传递进来,这样很容易照成sql注入,从而被黑客利用进行脱裤。@RequestMapping("/SqlInjection/{id}") public ModelAndView SqlInjectTest(@PathVa...
拼接SQL造成的意想不到的后果
weixin_33769207的博客
12-20 145
       执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用这种方式(UI层和逻辑层都有严格的过滤,倒也没出现过什么问题),但昨天开发时却出现了意想不到的问题,一个简单的语句会造成严重后果。简单的语句示例如下: 更新主键为2的记录的总钱数的方法     /// &lt;summary&gt;    /// 更新主键为2的记录的总钱数...
使用jdbc拼接条件查询语句时如何防止sql注入
云端笑猿的博客
04-27 2403
本人微信公众号,欢迎扫码关注! 使用jdbc拼接条件查询语句时如何防止sql注入 最近公司的项目在上线时需要进行安全扫描,但是有几个项目中含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接SQL语句,真是令人抓狂。 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思...
【零散知识点总结1】
weixin_44543307的博客
03-06 6666
零散笔记总结@Reference、@Autowired和@Resource的区别:Dubbohttp和HTTPSvue.js跟thymeleaf 的区别web开发,提供3个@Component注解衍生注解(功能一样)取代 @Reference、@Autowired和@Resource的区别: @Reference:是dubbo的注解,也是注入,他一般注入的是分布式的远程服务的对象,需要dubbo配置使用。 @Autowired:org.springframework.beans.factor
oracle sql 相关
weixin_44384384的博客
04-21 2399
oracle sql 相关 过滤数据 在SELECT语句内,通过在WHERE子句中指定搜索条件来过滤数据。紧接在表名(FROM子句)后面指定WHERE子句。 SELECT prod_name, prod_price FROM products WHERE prod_price = 2.50; 在同时使用ORDER BY和WHERE子句时,要确保ORDER BY出现在WHERE后面 where的运算符 运算符 描述 = 等于 != 不等于 < 小于 between 两个值之
绕过ngx_lua_waf SQL注入防御的策略分析
作者分享了三种另类思路来规避防御,同时探讨了参数处理的细节,特别是大小写的敏感性问题,以及与IIS服务器之间的参数获取差异可能带来的安全风险。" ngx_lua_waf是一个基于开放源代码的ngx_lua模块构建的Web应用...
日志结构化,SQL来查询
Raqsoft
08-30 2451
通常,日志文件都是文本格式,其中的内容是非结构化的文本串。这就使得我们查询日志信息时,一般只能使用文本编辑软件的搜索功能,输入关键字后,靠眼力去侦查每处匹配结果。在日志量不大,或者只是偶尔查一下时,这么操作倒也无妨。不过,再简单的事情也怕多次重复。如果需要频繁查询,量变就可能引起质变。如果每次还都要靠人工搜索,那么就算有再好的视力,也会有头晕目眩的时候。因此,想要轻松查询日志,就必须找到一款合适的...
无意中看到的文章,简单而又可怕的拼接SQL造成的意想不到的后果,转来记录下
魔术猿-Vezn
07-22 900
虽然公司有要求sql语句要调用ORM的方法处理,就算自己写也要参数化,但还是有些地方会没用注意到,看到下面的文章,惊出冷汗! -----------------------------------------------------------------------------  执行数据操作时,由于拼接SQL存在种种弊端,早就应该抛弃了,但在现实开发时,又由于种种原因,公司一直采用
采用拼接SQL语句的坏处
thebesttome的专栏
09-19 3981
采用拼接SQL语句。这样做很容易引起SQL注入攻击。   那么SQL注入是什么了?   SQL注入是目前比较常见的针对数据库的一种攻击方式。在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中。然后会通过各种手段将该字符串传递到SQLServer数据库的实例中进行分析和
后端代码在拼接SQL语句千万需要注意
糊糊和南风的博客
08-17 678
防止sql注入:防止黑客利用这个方法获取企业重要数据! 解决办法:用String.Format()函数以参数形式拼接 String sql = String.Format("SELECT * FROM A WHERE A_DJBH = '{0}'",a_djbh); SQL Injection攻击 可以将恶意代码插入到要传递给关系型数据库管理系统的用来分析和执行的字符串中。任何构成SQL语句的过程都应进行注入漏洞检查,因为DBMS将执行其接收到的所有语法有效的查询。 DB:是指datebase(数据库)
处理连接字符串的安全
weixin_30627341的博客
08-30 177
1. 数据库安全性 1.1. 尽量使用 Windows 身份验证而不是 SQL Server 验证  – 安全容易管理  –不需要在连接字符串中设置用户名和密码  – 可以通过密码策略保证安全  – 密码不会通过明文在网络中传递  1.2. 集成 Windows 身份验证 提供程序          语法 SqlClient       Integrated Security=true;   ...
防止sql拼接Java方法,java程序防止sql注入的方法
weixin_33429631的博客
03-27 769
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String...
SQL拼接存在的误区
最新发布
oybc666的博客
05-16 203
遇到的SQL语句拼接的问题
sql 拼接 防止注入
包子大叔的笔记
10-18 1796
[code="java"] 1 尽量用统一替换,好处很多 //创建insert语句 private List GetInsertSqlFromListPA_SD(List list) { List sqlList = new List(); string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product...
java专家之路(四)——Web安全之——SQL注入风险
softwareCraftsman
07-09 3024
简介: https://www.owasp.org/index.php/SQL_Injection SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值