SQL或HQL预编译语句,能够防止SQL注入,但是不能处理%和_特殊字符

最新推荐文章于 2024-02-23 08:00:00 发布
最新推荐文章于 2024-02-23 08:00:00 发布
阅读量4.1k 收藏
点赞数
分类专栏: 数据库 java 文章标签: 预编译sql语句 处理sql查询中的特殊字符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aitangyong/article/details/39052483
版权

最近项目在做整改,将所有DAO层的直接拼接SQL字符串的代码,转换成使用预编译语句的方式。个人通过写dao层的单元测试,有以下几点收获。

dao层代码如下

//使用了预编译sql
public List<IndvConfigModel> selectConfigBySuffix(String suffix)
{
        String hql = "from IndvConfigModel where configKey like '%'||?||'%'";

        return this.selectConfigByHQL(hql, new Object[]{suffix});
}


单元测试代码和执行结果如下:

@Test
public void testLike()
{
    List<IndvConfigModel> list = dao.selectConfigBySuffix("picQual");
    Assert.assertEquals(list.size(), 2);// 1.true

    list = dao.selectConfigBySuffix("picQua%");
    Assert.assertEquals(list.size(), 2);// 2.true
    
    list = dao.selectConfigBySuffix("pic'Qual");
    Assert.assertEquals(list.size(), 0);//3. true

}

1、第一个断言是true,说明上面的做法,的确能够起到模糊查询的效果 
 
2、第二个断言是true,说明%被认为是模糊匹配,并没有被oracle看成普通的字符。这说明预编译语句,是不能处理参数值中的特殊字符的。遇到%和_这种数据库模糊查询的特殊字符,需要使用者自己转义.
  
3、第三个断言没有报异常。说明:预编译语句已经对oracle的特殊字符单引号,进行了转义。即将单引号视为查询内容,而不是字符串的分界符。
 
由于SQL注入其实就是借助于特殊字符单引号,生成or 1= 1这种格式的sql。预编译已经对单引号进行了处理,所以可以防止SQL注入

aitangyong
关注
专栏目录
用PreparedStatement 预编译SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 694
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL ,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
hibernate预编译SQL语句的setParameter和setParameterList
aty
08-22 1万+
使用预编译SQL语句和占位符参数(在jdbc是?),能够避免因为使用字符串拼接sql语句带来的复杂性。我们先来简单的看下,使用预编译SQL语句的好处。使用String sql = "select * from Student where name=" + name;如果name的值是1或 "aty"或"aty'aty",就会产生下面错误的sql --ORA-01722 invalid numb
SQLHQL预编译语句,可以防止SQL注入,可是不能处理%和_特殊字符
weixin_33932129的博客
07-24 228
近期项目在做整改,将全部DAO层的直接拼接SQL字符串的代,转换成使用预编译语句的方式。个人通过写dao层的单元測试,有下面几点收获。 dao层代例如以下 //使用了预编译sql public List&lt;IndvConfigModel&gt; selectConfigBySuffix(String suffix) { String hql = "from In...
预编译对象解决SQL注入问题
weixin_30784141的博客
04-20 168
转载于:https://www.cnblogs.com/suanshun/p/6739454.html
SQL注入:使用预编译防御SQL注入时产生的问题
最新发布
qq_68163788的博客
02-23 1573
预编译防御SQL注入是一种常用的防御SQL注入攻击的方法,通过将SQL查询语句预先编译成一个模板,然后将用户输入的数据作为参数传递给模板,从而避免了直接拼接用户输入数据到SQL查询语句。然而,预编译防御SQL注入也存在一些问题。首先,预编译语句的性能问题是一个挑战,因为预编译语句需要在数据库进行编译和优化,这可能会增加数据库的负担和查询时间,影响系统的性能。其次,预编译语句的复杂性也是一个问题,因为需要事先定义好SQL查询语句的结构,然后将用户输入的数据与模板进行匹配,增加了代的复杂性和维护成本。
对于预编译防止sql注入的总结
m0_57713282的博客
05-30 1099
预编译实际上是简单的文本替换。也就是说带有占位符的sql语句,是事先在数据库进行编译的,最后把参数传给sql语句(参数化查询),来执行sql语句,前台用户输入的参数会被当作是sql的参数,进行执行sql语句 而 ...
Hibernate使用防止SQL注入的几种方案
01-20
这种方式同样能有效防止SQL注入,因为它不会直接拼接SQL字符串。 3. **使用setParameter()方法**: 这个方法允许我们设置参数类型,增强了安全性。例如: ```java Query query = session.createQuery("from ...
防止SQL注入dbq
04-06
1. **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入预编译语句SQL语句模板与参数分开处理,如: ```java String sql = "SELECT * FROM Users WHERE ID = ?"; ...
《OWASP代审计》学习——SQL注入漏洞审计
PICACHU+++的博客
08-04 608
注入攻击允许恶意用户向应用程序添加或注入内容和命令,以修改其行为。这些类型的攻击是常见且广泛的,黑客很容易测试网站是否易受攻击,攻击者也很容易利用这些攻击。如今,它们在尚未更新的遗留应用程序非常常见。
预编译防止sql注入的简单理解
weixin_45983964的博客
05-12 606
网上看了一下预编译为什么能够防止sql注入,大部分都是套话。在浏览的时候发现了一句话,让我醍醐灌顶。是这样说的,是把用户输入的值当做该字段的属性。可能是我说法的问题,但大概意思就是: 如果我们没有做预编译的话,那么用户输入的值就会和该sql语句一起编译执行,那么用户输入的sql注入语句也会被当做正常的语句进行执行。 如果我们利用了预编译的话,用户输入的值就会变成我们需要填充的一个字段,比如用户和密这里。如果我们使用预编译,不管用户输入的是什么?我们也只会把输入的当做字符串填充到用户字段和密字段下进行查
预编译真的能完美防御SQL注入吗?
白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。
01-05 929
在之前面试的时候,我还是太菜了,有一道面试题还是值得研究研究的。面试官问我,怎样完全避免sql注入?我想起了刚毕业时校招有一次也被问过一样的问题,当时我说的是:“基本上预编译就能解决了。”当时并没有对我提出质疑,所以我就一直以为预编译是无敌的,可以绝对防御sql注入。所以这次被问到,我依旧回答了预编译,不过这次面试官没有放我一马,开始对我进行追问:“有没有什么情况是预编译无法解决的?”我一听就知道完蛋了,自己才学疏浅终于还是掉坑里了,然后才意识到自己根本没有去深入研究过预编译。所以这次就想记录一下。
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
mysql预编译还有办法注入么_为什么预编译可以防止sql注入
weixin_30068377的博客
02-07 948
为什么预编译可以防止sql注入发布时间:2020-07-11 16:59:46来源:亿速云阅读:135作者:Leah为什么预编译可以防止sql注入?针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。预编译可以防止sql注入的原因:进行预编译之后,sql语句已经被数据库分析,编译和优化了,并且允许数据库以参数化的形式进行查询,所以即使有敏...
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 1093
语法树的建立?模糊查询又如何实现预编译
防止sql注入方法之预编译
波波豆奶
06-08 1061
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4080
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
HQL添加语句属性字符串带有特殊字符,例如 ; : , a等等会报unexcpted char的异常。
weixin_44801254的博客
11-09 648
大创项目需要添加前端传输过来的某两个属性之间的关系, 1;2 这种。使用hql查询数据库是否存在该关系时报错。 where grade ="+grade+" and majorId ="+majorId+" and relation ="+relation); java.lang.IllegalArgumentException: org.hibernate.QueryException: unexpected char: ‘;’ [from com.jou.oe.entity.FunTrainPr
SQL注入
gghhb12的博客
03-29 3921
SQL 注入
浅析预编译防止SQL注入的原理
qq_44286009的博客
08-18 726
要理解防止SQL注入的原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。假如我们有一个登录页面,登录页面大致如下图所示。这个时候,用户正常登陆就是输入用户名和密进行登录。我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代是有出入的,这里主要是为了对SQL注入进行一个简单的演示// 数据库连接信息try {// 加载驱动// 建立数据库连接。
请将上面的sql查询翻译成HQL语句
05-17
由于缺少具体的SQL查询语句,无法提供对应的HQL语句。但是,HQL语句SQL语句具有相似的语法结构,可以参考以下示例将SQL查询转换为HQL查询: 假设有一个名为"Person"的实体类,其包含"id"、"name"和"age"三个属性,可以使用以下SQL查询获取年龄大于18岁的人员信息: ``` SELECT * FROM Person WHERE age > 18; ``` 可以将其转换为HQL查询: ``` FROM Person WHERE age > 18 ``` 需要注意的是,在HQL使用的是实体类名而非表名,同时HQL查询语句以"FROM"关键字开头。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值