【JOOQ】解决模糊查询的sql注入问题

已于 2023-03-09 14:47:28 修改
阅读量613 收藏 1
点赞数
分类专栏: JOOQ 文章标签: java sql
于 2023-03-09 14:06:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qing__zi/article/details/129421462
版权

解决jooq中模糊查询的sql注入问题

jooq模糊查询

单字符通配符:_

多字符通配符:%

name like '%xiaoming%'

在java中的使用:

// Java中
Tables.TABLE_NAME.FIELD_NAME.like("%"+name+"%");

传入的name中如果包含%或者_  就会产生sql注入问题,这个时候我们希望对传入的包含通配符的字符进行转义后再匹配,但JOOQ中不会自动转义。我们可以采取显式定义转义字符 

用一个字符在通配符之间标识前边为普通字符,

 示例(使用!字符标识):

name like '%xiao!%ming%' escape '!'

在Java中

// 处理传入的参数,将参数中的%、_、和!分别替换为!%、!_、!!
  public static String replaceLike(String str){
        if(StringUtils.isNotBlank(str)){
            if(str.contains("!") || str.contains("%") || str.contains("_")){
                String replaceStr = str.replace("!", "!!");
                String replaceStr2 = replaceStr.replace("%", "!%");
                String replaceStr3 = replaceStr2.replace("_", "!_");
                return replaceStr3;
            }
        }
        return str;
    }


// 将参数传入方法进行处理
String str = replaceLike(name);

处理完再进行模糊查询
Tables TABLE_NAME.FIELD_NAME.like("%"+str+"%",'!');

Qing__zi
关注
专栏目录
MyBaits系列(三)MyBatis的模糊查询SQL注入
大鱼的博客
04-28 1092
扩展:MyBatis系列学习汇总 文章目录一、模糊查询1.1、抽象接口1.2、xml1.3、测试类1.4、执行结果二、SQL注入2.1、`#`和`$`的区别2.2、`#`和`$`验证2.3、如何模拟sql注入? 一、模糊查询 1.1、抽象接口 List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap); 1.2、xml 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧? &.
JDBC学习笔记(2)--sql注入问题模糊查询、事务
weixin_43788771的博客
04-21 932
sql注入模糊查询,与事务
Mybatis的模糊查询sql注入
m0_74356429的博客
12-21 681
{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换。${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换。${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value。UserDao.xml配置文件。UserDao.xml 文件。UserDao 接口。
JOOQ 入门手册(一)
最新发布
龙哥盟
08-17 266
如果你喜欢(像我一样),你可能会对在所有(或部分)生成的代码中添加手工编织的代码块感兴趣。例如,一些公司环境可能对在所有代码中添加商标和版权信息感兴趣。要实现这一点,您需要一个的实现。");} }");} }");} }");} }");} }");我告诉过你我很喜欢。
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1549
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
mybatis的模糊查询like报sql注入问题
dhklsl的专栏
07-19 2323
mybatis模块查询sql注入问题
免费开源-jOOQ 是用 Java 编写 SQL 的最佳方式
11-08
jOOQ 是一个内部 DSL 和源代码生成器,将 SQL 语言建模为类型安全的 Java API,以帮助您编写更好的 SQL。 其主要特点包括: 源代码生成器 用于类型安全查询构造和动态 SQL的 DSL API 次要特征包括: DAO 数据导出...
JDBC如何有效防止SQL注入
12-14
如果不能直接使用`PreparedStatement`,可以使用库如jOOQ或Querydsl,它们提供了更安全的API来构造SQL查询。 5. **避免动态SQL**: 尽可能避免在运行时构建SQL,因为这可能导致不安全的字符串拼接。如果必须动态...
jOOQjOOQ是用Java编写SQL的最佳方法
02-03
jOOQ存在的原因-与JPA相比 JavaSQL已经走了很长一段路。... 大多数框架,包括行业标准JPA,EJB,Hibernate,JDO,条件查询,以及许多其他框架,都试图隐藏SQL本身,从而将其范围最小化为​​JPQL,HQL,JDOQL和其
jooq如何模糊查询,然后排序
07-14
对于模糊查询和排序,你可以使用 jOOQ 的 `like()` 方法来进行模糊匹配,并使用 `orderBy()` 方法进行排序。下面是一个示例: ```java import static org.jooq.impl.DSL.*; public void searchAndSort() { // ...
jOOQ, 在Java中,jOOQ是编写SQL的最佳方法.zip
10-12
jOOQ, 在Java中,jOOQ是编写SQL的最佳方法 jooq的原因- 与JPA比较JavaSQL已经有了很长的。 SQL是一个"古",但它已经建立并。 Java也是一个遗传,虽然它的平台JVM允许在它的上构建许多新的和现代的语言。 然而,在...
关于MyBatis的模糊查询SQL注入问题
2201_75489337的博客
12-19 418
{}可以接收简单类型值或 pojo 属性值。#{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换。${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换。${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value。1.${}不防止SQL注入 #{}可以防止SQL注入
模糊查询 防止SQL注入
maihoney的专栏
06-22 902
为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name #,'%') oracle: select * from stu where name like '%'||#name #||'%' SQL ...
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1206
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
Mysql模糊查询防止sql注入
过去过去,未来未来,当下永恒!
09-23 1142
使用concat配合escape 防止sql注入 escape意思就是说/之后的_不作为通配符 <if test="params.jobName != null and params.jobName !='' and params.jobName !='空'.toString()"> and r1.jobName like CONCAT('%',#{params.jobName},'%') escape '#' </if> ...
Mabatis中模糊查询防止sql注入
雏鸟飞翔之路
07-17 568
  #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全; ${xxx},使用字符串拼接,可以SQL注入; like查询不小心会有漏洞,正确写法如下: Mysql:   select * from user where name like concat('%', #{name}, '%') Oracle:  select * from use...
模糊查询 防止SQL注入
fangyana的博客
12-04 780
bind + #{} 模糊查询防止SQL注入(#{}进行预编译,传递的参数不进行编译,只作为参数,相当于PreparedStatement) bind元素可以从 OGNL 表达式中创建一个变量并将其绑定到上下文。比如: <select id="selectBlogsLike" resultType="Blog"> <bind name="pattern" value="'%' + _parameter.getTitle() + '%'" /> SELECT * ...
Mybatis02:万能的map 和 模糊查询防止sql注入
lenard-lhz的博客
04-02 286
使用map处理多参数问题。“%” “%”防止sql注入问题
mybatis模糊查询应先处理好参数,再进行查询,防止sql注入
Samin的博客
04-23 464
模糊查询的关键词like ,在查询输入的字符串前后加上%当name传入的值为就会产生sql注入,这和concat有关,传入的name和%没有看作一个整体,做了拼接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值