sql防注入形式,动态添加查询条件参数

最新推荐文章于 2024-06-25 17:30:17 发布
最新推荐文章于 2024-06-25 17:30:17 发布
阅读量1k 收藏
点赞数
分类专栏: sql 文章标签: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinaxiaofeng8/article/details/82023244
版权

/**

*

* 根据输入值查询出教师信息

* @param sort

* @param page

* @param countPerPage

* @param teacherName 教师名称

* @param teacherWorkUnit 工作单位

* @param teacherState 教师状态

* @param fieldName

* @param fieldId

* @param status

* @return

*/

public PaginationSupport findTeacherList(LinkedHashMap<String, String> sort,int page, int countPerPage,String teacherName,String teacherPosition, String teacherWorkUnit,String fieldName, Integer teacherState,String teaImport,Long fieldId,Integer status,String theme) {

String hql = "select distinct ti from SysTeaTeactherInfo ti " +

" left join ti.sysTeaProfFields pf " +

" left join ti.sysEduCourseInfos ci " +

" where 1=1 ";

// " and ti.teacherName like :teacherName " +

// " and ti.teacherPosition like :teacherPosition " +

// " and ti.teacherWorkUnit like :teacherWorkUnit ";

List<String> pn = new ArrayList<String>();

List pv = new ArrayList();

if (StringUtil.isNotEmpty(teacherName) && !teacherName.trim().equals("")) {

hql+=" and ti.teacherName like :teacherName ";

pn.add("teacherName");

pv.add("%"+teacherName.trim()+"%");

}

if (StringUtil.isNotEmpty(teacherPosition) && !teacherPosition.trim().equals("")) {

hql+=" and ti.teacherPosition like :teacherPosition ";

pn.add("teacherPosition");

pv.add("%"+teacherPosition.trim()+"%");

}

if (StringUtil.isNotEmpty(teacherWorkUnit) && !teacherWorkUnit.trim().equals("")) {

hql+=" and ti.teacherWorkUnit like :teacherWorkUnit ";

pn.add("teacherWorkUnit");

pv.add("%"+teacherWorkUnit.trim()+"%");

}

if (StringUtil.isNotEmpty(theme) && !theme.trim().equals("")) {

hql+=" and ti.courseTheme like :theme ";

pn.add("theme");

pv.add("%"+theme.trim()+"%");

}

if (null!=fieldId) {

hql +=" and concat(',',trim(str(pf.fieldId)),',',pf.fieldFatherStr) like "+"'%,"+fieldId.toString()+",%'";

}

//领域作为条件查询教师

if (null!=fieldName) {

if (!fieldName.trim().equals("")) {

hql+=" and pf.fieldName like "+"'%"+fieldName.trim()+"%'";

}

}

//下拉框中选择的教师状态

if (null!=teacherState) {

hql+=" and ti.teacherState = "+ teacherState +"";

}

//复选框勾选重点教师

if (null!=teaImport) {

hql+=" and ti.teacherImportant = "+ IMPORTANT_TEACHER +"";

}

//点击右边不同教师库,传进来的状态

if (null!=status) {

hql+=" and ti.teacherState = "+ status +"";

}

if(sort!=null && sort.size()>0){

String order = addOrder(sort);

if(order!=null && order!=""){

hql+=" order by "+order;

}

}else{

hql+=" order by ti.teacherPoint desc , ti.updateTime desc";

}

String[] pns = new String[pn.size()];

String[] arr = pn.toArray(pns);

Object[] obj = pv.toArray();

// if (StringUtil.isNotEmpty(theme) && !theme.trim().equals("")) {

// return this.findByHqlOnPage(hql, page, countPerPage,new String[]{"teacherName","teacherPosition","teacherWorkUnit","theme"},new Object[]{"%"+(StringUtil.isEmpty(teacherName)?"":teacherName.trim())+"%","%"+(StringUtil.isEmpty(teacherPosition)?"":teacherPosition.trim())+"%","%"+(StringUtil.isEmpty(teacherWorkUnit)?"":teacherWorkUnit.trim())+"%","%"+(StringUtil.isEmpty(theme)?"":theme.trim())+"%"});

// }else {

// return this.findByHqlOnPage(hql, page, countPerPage,new String[]{"teacherName","teacherPosition","teacherWorkUnit"},new Object[]{"%"+(StringUtil.isEmpty(teacherName)?"":teacherName.trim())+"%","%"+(StringUtil.isEmpty(teacherPosition)?"":teacherPosition.trim())+"%","%"+(StringUtil.isEmpty(teacherWorkUnit)?"":teacherWorkUnit.trim())+"%"});

// }

return this.findByHqlOnPage(hql, page, countPerPage, arr, obj);

}

小峰83
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL参数化-SQL注入
08-30
关于SQL参数化的解释,关于参数化的一些自己的见解,参数化主要是为了SQL注入
sql语句实现动态添加查询条件
热门推荐
我滴太阳233的博客
04-16 4万+
今天遇到一个问题,就是需要根据前端页面发送的条件查询数据库记录,但是前端发送的条件是不确定的。如果使用mybatis的xml方法可以使用if标签灵活的添加判断条件,但是现在我使用的就是单纯的sql。我是这样解决的:使用case when 语句可以完成这样的sql拼接。值得注意的是判断的时候用的是is null/is not null,而不要使用=/!=昨天忘了判断空字符串,修改如下:之前是直接使用...
MyBatis 框架 动态SQL 处理简单的 多参数查询
最新发布
whs_8792的博客
06-25 991
MyBatis 框架 使用动态SQL 处理简单的 多参数查询
sql注入SQL注入
07-06
SQL注入,详细讲解如何进行sql注入和如何sql注入,非常实用,推荐给大家,希望大家喜欢
FineReport父子格实现动态参数注入
weixin_30908103的博客
11-21 1051
  “深入学习FineReport后发现其功能及其强大,之前使用存储过程实现的报表完全可以使用FineReport本身的功能实现。 当你需要的表名,查询条件等均未知的时候,使用“动态参数注入”即可实现将一个查询的结果集当成另一个查询条件,甚至表名来使用。 使用动态参数注入的时候同时要配合父子格的使用。” 一、父子格   父子格一般用于,单元格拓展,当不选择父格的时候,查询结果会...
通过aop实现对mybatis逆向工程生成的SQL动态添加查询条件
水中加点糖
09-16 2944
问题概述 最近为了公司项目里有一个需求,原本一个用户只可以查询一个地区的数据,现在要让一个用户支持多个地区的数据。 也就是: (1个)user-->(1个)region 现在需要修改为: (1个)user-->(多个)region 其原项目中以前的查询方式是通过like regionCode%来实现的,regionCode由前端传入 类似这样的: regionCo...
sqlmap sql 注入测试工具
03-06
5. 安全建议:除了使用工具检测,还应遵循良好的编程规范,如参数查询、预编译语句、输入验证等,以减少SQL注入的风险。定期进行安全审计和更新系统也非常重要。 6. `sqlmap_test`文件可能包含的是一个示例测试...
sql注入过滤字典.txt
10-15
1. **参数查询**:使用预编译语句和参数查询可以有效避免SQL注入。 2. **输入验证**:对用户输入进行严格的验证和清理。 3. **最小权限原则**:确保应用程序使用的数据库账户只拥有完成其任务所需的最小权限。 4...
SQL注入攻击御策略的研究.pdf
01-04
常见的SQL注入攻击场景包括对数据库与带有数据参数动态网页进行访问,整体的攻击形式非常隐秘,表面而言和普通的web访问不存在区别,也不容易被发现,但是潜在的风险较高,危害的范围很广。 SQL注入攻击的策略...
SQL注入之万能密码.docx
06-04
SQL注入是一种常见的网络安全漏洞,它发生在应用程序通过用户输入的数据直接构造SQL查询语句时,如果没有进行适当的参数化处理或过滤,攻击者可以通过输入特定的字符串来操纵后台数据库。"SQL注入之万能密码"是针对...
sql注入一日通.pdf
05-02
- **参数查询**: 使用预编译语句或参数查询来避免SQL注入风险。 - **最小权限原则**: 限制应用程序账户的数据库访问权限,仅授予必要的权限。 - **日志记录**: 记录并监控所有与数据库交互的日志,及时发现异常...
使用 druid sql parser 实现 sql 语句动态添加条件
11-04 3196
使用 druid sql parser 实现 sql 语句动态添加条件 最近有个需求,需要根据 threadlocal 中的条件和模板配置,动态修改 sql ,给 sql where 或者 join 后面添加 in 条件。避免 sql 执行以后进行代码过滤,减轻数据库的压力。于是尝试了 durid sql parser ,这样不用添加其它多余的依赖,方便集成。先写了一个 main 函数,后续将它集成到 mybatis interceptor 中实现。 本人用的 druid 版本为 1.0.16
SQL语言---条件查询
chstor's blog
05-25 576
#条件查询 语法: select 查询列表 from 表名 where 筛选条件 执行顺序:from>where>select 特点: 1、按关系表达式筛选 > < >= <= = <> 也可以用!=,但是不建议 2、按逻辑表达式筛选 and or not 也可以用&& || ! ,但是不建议 3、模糊查询 like in between and is null 模糊查询: 1、like 功能: 一般和通配符搭配使用,对字符型数据进
sql 拼接 注入
包子大叔的笔记
10-18 1773
[code="java"] 1 尽量用统一替换,好处很多 //创建insert语句 private List GetInsertSqlFromListPA_SD(List list) { List sqlList = new List(); string strSQL = @"Insert Into PA_SD(DNDH,pono,itemno,style,product...
mybatis中动态sql以及条件查询的实现
weixin_44239550的博客
12-11 2151
类及其对象实现动态sql有种种方式,这里使用的是where以及if标签。条件查询使用了写类名再赋值的方式。总共实现一共分。
SQL注入进阶:掌握联合查询注入和报错注入攻击技巧
weixin_43263566的博客
01-19 3359
SQL注入之联合查询注入与报错注入
sql注入详解
m0_67392811的博客
06-12 5909
目录前言? ?一、漏洞原因分析二、漏洞危害三、sql注入范四、如何挖掘sql注入漏洞五、常见的注入手法联合查询(union注入)报错注入基于布尔的盲注基于时间的盲注HTTP头注入宽字节注入堆叠查询二阶注入六、sql注入getshell的几种方式结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标准数据查询语言。SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没
SQL注入基础入门篇 注入思路及常见的SQL注入类型总结
好好睡觉
03-04 7077
SQL注入基础部分、注入脚本、常见注入类型分类、报错注入、联合查询思路
SQL注入的四种方案
dehuisun的专栏
09-05 9679
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
SQL动态查询语句学习指南
- 动态SQL虽然强大,但也容易受到SQL注入攻击。因此,在使用动态SQL时,务必确保数据的来源安全,避免用户输入直接构造SQL语句,使用参数查询可以有效止此类攻击。 6. **性能优化** - 动态SQL由于其运行时的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值