【JOOQ】解决模糊查询的sql注入问题

已于 2023-03-09 14:47:28 修改
阅读量555 收藏 1
点赞数
分类专栏: JOOQ 文章标签: java sql
于 2023-03-09 14:06:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qing__zi/article/details/129421462
版权

解决jooq中模糊查询的sql注入问题

jooq模糊查询

单字符通配符:_

多字符通配符:%

name like '%xiaoming%'

在java中的使用:

// Java中
Tables.TABLE_NAME.FIELD_NAME.like("%"+name+"%");

传入的name中如果包含%或者_  就会产生sql注入问题,这个时候我们希望对传入的包含通配符的字符进行转义后再匹配,但JOOQ中不会自动转义。我们可以采取显式定义转义字符 

用一个字符在通配符之间标识前边为普通字符,

 示例(使用!字符标识):

name like '%xiao!%ming%' escape '!'

在Java中

// 处理传入的参数,将参数中的%、_、和!分别替换为!%、!_、!!
  public static String replaceLike(String str){
        if(StringUtils.isNotBlank(str)){
            if(str.contains("!") || str.contains("%") || str.contains("_")){
                String replaceStr = str.replace("!", "!!");
                String replaceStr2 = replaceStr.replace("%", "!%");
                String replaceStr3 = replaceStr2.replace("_", "!_");
                return replaceStr3;
            }
        }
        return str;
    }


// 将参数传入方法进行处理
String str = replaceLike(name);

处理完再进行模糊查询
Tables TABLE_NAME.FIELD_NAME.like("%"+str+"%",'!');

Qing__zi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jOOQjOOQ是用Java编写SQL的最佳方法
02-03
jOOQ存在的原因-与JPA相比 JavaSQL已经走了很长一段路。 SQL是一种“古老的”但尚未建立且易于理解的技术。 尽管Java平台JVM允许在Java之上构建许多新的和现代的语言,但Java也是一个传统。 然而,这些年来,处理SQLJava之间的接口的库已经不复存在了,使得JPA成为只有在没有任何生存选择的情况下才有疑问的标准。 到目前为止,只有很少的数据库抽象框架或库真正地尊重SQL作为语言中的头等公民。 大多数框架,包括行业标准JPA,EJB,Hibernate,JDO,条件查询,以及许多其他框架,都试图隐藏SQL本身,从而将其范围最小化为​​JPQL,HQL,JDOQL和其
mysql注入模糊_sql模糊查询,以及sql注入问题
weixin_39638859的博客
01-26 1233
mysql 模糊查询sql注入一、根据姓名模糊查询员工信息方式一selectid, emp_name as empName,sex,email,birthday,addressfromt_employeewhereemp_name like #{empName}以上方式需要在传值时加上%% 即 %张三% 手动添加通配符方式二selectid, emp_name as empN...
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
weixin_65492194的博客
10-01 1000
Mybatis:SQL注入问题 like模糊查询 多表查询 动态SQL
mybatis的模糊查询like报sql注入问题
dhklsl的专栏
07-19 2154
mybatis模块查询sql注入问题
SQL注入-Oracle手工+sqlmap
xiaoheizi的博客
06-28 1114
-dump -T "" -D "" -C "" #列出指定数据库的表的字段的数据(--dump -T 表 -D 数据库 -C 列)sqlmap.py -r C:\Users\hesy\Desktop\1.txt --current-db//跑出数据库名字。--columns -T "user" -D "mysql" #列出mysql数据库中的user表的所有字段。--privileges #查看用户权限(--privileges -U root)sqlmap 数据库注入数据猜解。
MyBatis 中 SQL 注入攻击的3种方式,真是防不胜防!
2301_78526383的博客
06-17 744
以上就是mybatis的sql注入审计的基本方法,我们没有分析的几个点也有问题,新手可以尝试分析一下不同的注入点来实操一遍,相信会有更多的收获。当我们再遇到类似问题时可以考虑:1、Mybatis框架下审计SQL注入,重点关注在三个方面like,in和order by2、xml方式编写sql时,可以先筛选xml文件搜索$,逐个分析,要特别注意mybatis-generator的order by注入3、Mybatis注解编写sql时方法类似。
SQL实现模糊查询的四种方法总结
热门推荐
qq_58626489的博客
02-18 1万+
SQL实现模糊查询的四种方法总结
Mysql 字段模糊查询,在页面中输入%查询全部的问题处理
博客
03-29 5541
测试小妹闲着无聊,针对某一个查询项进行“**%**”测试,正常查询效果应该是返回空数据,但是却查出所有的数据。
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3025
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
模糊查询-防止sql注入
xiaoguaihu12的博客
09-06 1906
在mapper中写 模糊查询,按名称查询时,直接在sql语句中写%x%,等于写死在里面了,以后 每次查询都需要改动,那怎么办呢? 1.加入concat()关键字:concat('%',#{name},'%') 不常用,比较麻烦。动态参数 底层调用parperedStatement 可防止sql注入 2.'%' #{name} '%' 常用 中间有空格注意。动态参数 底层调用parpere...
免费开源-jOOQ 是用 Java 编写 SQL 的最佳方式
11-08
jOOQ 是一个内部 DSL 和源代码生成器,将 SQL 语言建模为类型安全的 Java API,以帮助您编写更好的 SQL。 其主要特点包括: 源代码生成器 用于类型安全查询构造和动态 SQL的 DSL API 次要特征包括: DAO 数据导出...
jooq-async:使用jooq构建查询并以React方式运行它
03-20
响应式jooq API 该API是将jooq与React式客户端一起用于RDBMS的解​​决方案。 实作 目前,有2种实现方式: 阻塞的jdbc实现 仅适用于PostgreSQLvertxReact式实现 进口 Jcenter托管此库。 玛文 < groupId>fr.maif ...
jOOQ, 在Java中,jOOQ是编写SQL的最佳方法.zip
10-12
jOOQ, 在Java中,jOOQ是编写SQL的最佳方法 jooq的原因- 与JPA比较JavaSQL已经有了很长的。 SQL是一个"古",但它已经建立并。 Java也是一个遗传,虽然它的平台JVM允许在它的上构建许多新的和现代的语言。 然而,在...
简单了解java ORM框架JOOQ
08-25
* 安全性:JOOQ支持prepared statement,可以防止SQL注入攻击。 * 简洁性:JOOQ的API非常简洁,易于使用和理解。 JOOQ的应用场景: * Web应用程序:JOOQ可以应用于Web应用程序的持久层开发。 * 移动应用程序:JOOQ...
MyBaits系列(三)MyBatis的模糊查询SQL注入
大鱼的博客
04-28 905
扩展:MyBatis系列学习汇总 文章目录一、模糊查询1.1、抽象接口1.2、xml1.3、测试类1.4、执行结果二、SQL注入2.1、`#`和`$`的区别2.2、`#`和`$`验证2.3、如何模拟sql注入? 一、模糊查询 1.1、抽象接口 List<Map<String,Object>> selectLIKEUser(Map<String,Object> parmsMap); 1.2、xml 看到这个就知道为啥字段如果是like的话要用飘号包起来了吧? &.
你不会还不知道,网络安全必学SQL注入吧?
Python栈
03-24 579
当找到某个变量关键词有 SQL 注入风险时,可以再根据调用链找到该存在注入风险的业务逻辑代码,查看参数来源是否安全、是否有配置SQL危险参数过滤的过滤器,最终确认是否存在SQL注入。这个简化的查询使得攻击者能够绕过原有的条件限制:这个查询会返回items表中所有储存的条目,而不管它们的所有者是谁,而原本应该只返回属于当前已认证用户的条目。修改SQL语句之后,程序停止报错,但是却引入了SQL语句拼接的问题,如果没有对用户输入的内容做过滤,势必会产生SQL注入漏洞。
Mybatis的模糊查询sql注入
m0_74356429的博客
12-21 571
{}表示一个占位符号 通过#{}可以实现 preparedStatement 向占位符中设置值,自动进行 java 类型和 jdbc 类型转换。${}表示拼接 sql 串 通过${}可以将 parameterType 传入的内容拼接在 sql 中且不进行 jdbc 类型转换。${}可以接收简单类型值或 pojo 属性值,如果 parameterType 传输单个简单类型值,${}括号中只能是 value。UserDao.xml配置文件。UserDao.xml 文件。UserDao 接口。
Mybatis进行模糊查询以及避免因为模糊查询导致的sql注入
weixin_44976835的博客
12-19 1062
模糊查询 ,like语句 模糊查询怎么写? 1.java代码执行的时候,传递通配符% 在接口中创建方法 /** * 模糊查询 * @return */ List<User> getUserLike(String value); 写sql语句 <!--模糊查询--> <select id="getUserLike" resultType="pojo.User"> select * from mybatis.User where name like #{value} &lt
Mybatis02:万能的map 和 模糊查询防止sql注入
最新发布
lenard-lhz的博客
04-02 207
使用map处理多参数问题。“%” “%”防止sql注入问题
jooq如何模糊查询,然后排序
07-14
对于模糊查询和排序,你可以使用 jOOQ 的 `like()` 方法来进行模糊匹配,并使用 `orderBy()` 方法进行排序。下面是一个示例: ```java import static org.jooq.impl.DSL.*; public void searchAndSort() { // ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值