普元EOS中namingsql(命名sql)动态传入表名造成的SQL注入的解决方案

最新推荐文章于 2024-01-02 10:15:24 发布
最新推荐文章于 2024-01-02 10:15:24 发布
阅读量4.8k 收藏 4
点赞数
分类专栏: Primeton EOS 文章标签: EOS Criteria ibatis 动态
转至元数据起始

如何解决动态数据表名,动态字段名情况下,由缓存select字段而引起的映射字段找不到的情况?

以下是解决办法!

先看一个常规查询示例:

1、准备两个数据库,数据库表结构如下:

2、命名sql的编写:queryBasedbData.namingsqlx

?
<? xml version = "1.0" encoding = "UTF-8" ?>
<!-- author:lianzh -->
< sqlMap  namespace = "Account" >
     < parameterMap class = "commonj.sdo.DataObject" id = "parameterMap" >
         < parameter javaType = "date" jdbcType = "DATE" property = "dateType" />
     </ parameterMap >
     < resultMap class = "commonj.sdo.DataObject" id = "resultMap" >
         < result column = "TYPEID" javaType = "string" property = "typeId" />
     </ resultMap >
     < select id = "select_data_test" parameterClass = "java.util.HashMap" resultClass = "commonj.sdo.DataObject" >
          select * from $tablename$
     </ select >
</ sqlMap >

其中$tablename$ 表名是可以动态修改的。

3、创建逻辑流,调用queryByNamedSql,根据命名sql查询数据库,具体如下:

 

4、调用逻辑流,查询结果如下,可正常查询:

<DataObject __type="sdo:commonj.sdo.DataObject" __id="0">

                      <id1 __type="java:java.lang.String">11</id1>

                     <name1 __type="java:java.lang.String">name11</name1>

</DataObject>

5、将赋值中的表名修改为a_user2

6、运行逻辑流,跟踪代码

自动加载映射是false

所以由于缓存机制,映射的还是之前表的字段id1 而不是id2:

虽然根据命名sql中的sql语句可以查询表的结果,但是却无法进行映射,报如下“字段找不到”异常:

7、解决方案

EOS的帮助文档中对命名sql各元素的属性有描述,但是描述不全,没有对重新加载命名sql的属性进行描述。

参考ibatis,需要在动态传入表名时,重新进行映射,设置 remapResults="true"。

如上例:需要在<select></select>标签中,加入remapResults="true",如下:

?
< select id = "select_data_test" parameterClass = "java.util.HashMap" resultClass = "commonj.sdo.DataObject" remapResults = "true" >
         select * from $tablename$
</ select >

8、只有在动态加载表名时增加该属性,其他情况下不需要,否则性能有影响。

普元产品资深专家
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MyBatis动态表名动态排序直接使用${}而引发SQL注入安全漏洞的修复解决方案
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
07-20 2425
MyBatis能用#{}尽量用#{},而本文主要解决必须要用${ }的情况下,如何解决${}导致的SQL注入安全漏洞修复。
eos java调用命名sql_普元 EOS Platform 7.6 开发命名SQL缓存示例
weixin_35125164的博客
02-27 363
【解答】示例代码及EMPLOYEE建表语句见 命名SQL缓存demo.zip1、在Mysql5.5.29上创建命名SQL需要查询的表EMPLOYEE,新增两条数据DROP TABLE EMPLOYEE;CREATE TABLE EMPLOYEE(EMP_ID NUMBER(10,0) NOT NULL primary key,EMP_NAME VARCHAR(64),BIRTHDAY DATE,A...
EOS/iBATIS根据sql的全名id获取预编译sql
试着奔跑的菜鸟的博客
04-14 1216
普元EOS7.5根据命名sql的id取到执行sql。并获取参数,将编译参数以mybatis的格式进行返回
mybatis基础知识一览
保护大苹果
03-03 412
Mybatis: 注:Pojo(Plain Old Java Object,普通的Java对象) 1. Mybatis和hibernate的简单对比:    (1) 易学:mybatis会sql就能搭建框架并使用,而hibernate有7种查询搭建框架;    (2) sql查询:mybatis只支持一种xml查询,而hibernate提供了hql,sqlnamingSQL三种类查询;    (...
Named SQL queries
weixin_33766168的博客
03-03 124
  Named SQL queries may be defined in the mapping document and called in exactly the same way as a named HQL query. In this case, we do not need to call AddEntity(). &lt;sql-query name="persons"&g...
普元 命名sql 处理动态sql
04-19
普元 命名sql 处理动态sql 用户场景: 对于同一个查询的命名sql,列或者表名都是动态的,如有些时候命名sql为select custID,custName from cust,有些时候是select custID from cust,这时候列名是变量。EOS默认是不支持的,会报列错误。 解决方案
普元 ESB 6.6,在开发的介流需要使用queryByNamedSql方法,这个方法对应的namedSql文件应该放在什么位置下?
普元开发者乐园
02-22 1250
转至元数据起始 问题描述:在开发的介流需要使用queryByNamedSql方法,这个方法对应的namedSql文件应该放在什么位置下?解决方案:如下图部分的“数据集"点击右键选择"创建"选项的"命名SQL集"即可 ...
普元EOS7代码例子
12-05
普元EOS7代码例子】是一个集合,展示了在学习普元EOS7平台的过程,通过实践编写的各种示例。这些示例涵盖了多个关键知识点,旨在帮助开发者深入理解如何有效地使用这个企业级应用开发框架。普元EOS7是一个强大的...
EOS.rar_EOS_普元_普元EOS_普元EOS教程
09-23
**EOS - 普元企业服务总线** EOS(Enterprise Service Bus),由普元公司...通过学习"EOS概览",开发者不仅能深入了解普元EOS的功能特性,还能掌握实际开发的技巧和最佳实践,为构建高效、稳定的SOA体系奠定基础。
普元EOS服务器搭建及虚拟化解决方案v1.1.docx
06-12
普元EOS服务器搭建及虚拟化解决方案,包含服务器搭建拓扑图,硬件资源配置信息等
普元EOS开发帮助手册
06-13
普元EOS开发帮助手册,普元EOS开发帮助手册,普元EOS开发帮助手册,普元EOS开发帮助手册
named-sql-params:SQL字符串命名参数
05-15
命名SQL参数 SQL字符串命名参数 用法 $ named = new NamedSqlParams ; $ sql = <<<SQL xss=removed xss=removed> 'users' , 'country' => 'USA' , 'genders' => [ 'M' , 'F' ] ]; list ( $ prepared_sql , $ prepared_params ) = $ named -> prep ( $ sql , $ params ); // $prepared_sql
sql注入原理与解决方法
最新发布
Artisan_w
01-02 403
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
表名动态生成拼接到sql语句的sql注入问题
dhklsl的专栏
11-15 7694
背景:根据业务需要,每个月生成一张根据年份和月份的表,然后当前的数据存到当前月份的表。 关键代码如下: String tabName = "tabsaveevent" + strYear + strMonth; String sqlSave = "insert into " + tabName + " (id,serializeObj,methodName,createTi...
解决SQL注入问题
weixin_52385232的博客
09-10 223
解决SQL注入问题
普元Can't convert class "com.primeton.data.sdo.impl.DataObjectImpl" to "com.primeton.sql.empdataset
Baple的专栏
11-11 4933
http://p.primeton.com/reports/53ed7b25e13823423b0000a1
普元EOS命名sql的使用注意事项
iteye_2156的博客
02-16 1018
普元EOS命名sql的使用注意事项:   所谓的命名sql其实也就是数据库里的sql语句,普元EOS里做了一定的封装,以方便在程序的使用。 命名SQL的基本元素包括:       1. &lt;parameterMap&gt; parameterMap负责将对象属性映射成statement的参数。     2. &lt;resultMap&gt; resultMap负责将结果集...
普元EOS:执行自定义命名sql查询(无参,有参)
马句
07-10 638
1.创建命名sql命名sql集简介 命名SQL集是一系列命名sql的集合,用来统一管理命名sql。 它是给一个sql起一个唯一标识,并指定如何处理sql所需要的参数和执行完后的结果。它可以在参数和返回值使用实体,用户可以用命名sql执行对应sql的全部操作。 创建步骤 创建构件包实现,在构件包的右键菜单,选择[创建/命名sql集],出现创建命名sql集对话框,如下图所示。 填写命名sql集基本信息。 点击<完成>按钮。如下图...
普元sql写一个计算当前时间减去字段的时间不小于半年
03-08
以下是使用普元sql计算当前时间减去字段的时间不小于半年的语句: SELECT * FROM table_name WHERE DATEDIFF(NOW(), field_name) >= 180; 其,table_name是您要查询的表名,field_name是您要计算的字段名。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值