多条件参数查询防SQL注入分页写法

最新推荐文章于 2023-08-25 08:00:00 发布
最新推荐文章于 2023-08-25 08:00:00 发布
阅读量271 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/citygu/article/details/83971897
版权

先附上DAO方法:有两个方法构成。一个查询一页内的数据记录,一个查询记录总数。

map里存放这查询条件和参数值 还有第几页,一页多少行

@Override
	@SuppressWarnings("unchecked")
	public List selectStudentsList(Map map) {
		/**
		*对方法功能的描述
		*@param参数1
		*@param参数2
		*@return 返回类型
		*@throws这个方法所抛出的异常
		*/
		StringBuffer sb=new StringBuffer("SELECT s.NO_ as return1,u.NAME_ as return2,u.SEX_ as return3,sub.SHORT_TITLE_ as return4,g.NAME_ as return5,c.NAME_ as return6 FROM users_ u,login_ l, students_ s LEFT JOIN spe_subject_ sub ON s.PRO_ID_ = sub.ID_ LEFT JOIN grade_ g ON s.GRADE_ = g.ID_ LEFT JOIN classes_ c ON s.CLASS_ID_ = c.ID_ WHERE s.NO_=u.ID_ AND l.ID_=s.NO_ ");
		Vector vector=new Vector();
		if(map.get("no")!=null){
			sb.append(" and s.NO_ like ?");
			vector.add("%"+(String)map.get("no")+"%");
		}
		if(map.get("name")!=null){
			sb.append(" and u.NAME_ like ?");
			vector.add("%"+(String)map.get("name")+"%");
		}
		if(map.get("sex")!=null){
			sb.append(" and u.SEX_=?");
			vector.add((String)map.get("sex"));
		}
		if(map.get("proId")!=null){
			sb.append(" and s.PRO_ID_=?");
			vector.add((String)map.get("proId"));
		}
		if(map.get("grade")!=null){
			sb.append(" and s.GRADE_=?");
			vector.add((String)map.get("grade"));
		}
		if(map.get("classId")!=null){
			sb.append(" and s.CLASS_ID_ =?");
			vector.add((String)map.get("classId"));
		}
		sb.append(" and (l.ACCOUNT_STATUS_!='5' or l.ACCOUNT_STATUS_ is NULL)");
		sb.append(" order by s.NO_ asc limit "+(Integer)map.get("begin")+","+(Integer)map.get("size"));
//		System.out.println(sb.toString());
		List list=getJdbcTemplate().queryForList(sb.toString(),vector.toArray());
		List resList=new ArrayList();
		for(Map imap:(List<Map>)list){
			ReturnBean rb=new ReturnBean();
			rb.setReturn1((String)imap.get("return1"));
			rb.setReturn2((String)imap.get("return2"));
			rb.setReturn3((String)imap.get("return3"));
			rb.setReturn4((String)imap.get("return4"));
			rb.setReturn5((String)imap.get("return5"));
			rb.setReturn6((String)imap.get("return6"));
			resList.add(rb);
		}
		return resList;
	}
  
@Override
	@SuppressWarnings("unchecked")
	public int selectStudentsLength(Map map) {
		StringBuffer sb=new StringBuffer("SELECT count(s.NO_) FROM users_ u,login_ l, students_ s  WHERE s.NO_=u.ID_ AND l.ID_=s.NO_ ");
		Vector vector=new Vector();
		if(map.get("no")!=null){
			sb.append(" and s.NO_ like ?");
			vector.add("%"+(String)map.get("no")+"%");
		}
		if(map.get("name")!=null){
			sb.append(" and u.NAME_ like ?");
			vector.add("%"+(String)map.get("name")+"%");
		}
		if(map.get("sex")!=null){
			sb.append(" and u.SEX_=?");
			vector.add((String)map.get("sex"));
		}
		if(map.get("proId")!=null){
			sb.append(" and s.PRO_ID_=?");
			vector.add((String)map.get("proId"));
		}
		if(map.get("grade")!=null){
			sb.append(" and s.GRADE_=?");
			vector.add((String)map.get("grade"));
		}
		if(map.get("classId")!=null){
			sb.append(" and s.CLASS_ID_ =?");
			vector.add((String)map.get("classId"));
		}

		sb.append(" and (l.ACCOUNT_STATUS_!='5' or l.ACCOUNT_STATUS_ is NULL)");
		return getJdbcTemplate().queryForInt(sb.toString(),vector.toArray());
	}

 查询的业务方法:查询结果会包装到PageInfo的Bean中

@Override
	public PageInfo findStudentsToPage(Map map) {
		PageInfo pageInfo=new PageInfo();
		pageInfo.setPageIndex((Integer)map.get("pageIndex"));
		map.put("begin", (pageInfo.getPageIndex()-1)*pageInfo.getPageSize());
		map.put("size", pageInfo.getPageSize());
		pageInfo.setPageList(studentsDAO.selectStudentsList(map));
		pageInfo.setTotalNum(studentsDAO.selectStudentsLength(map));
		pageInfo.countPageNum();
		return pageInfo;
	}
 

 

citygu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入 生成参数化的通用分页查询语句
01-01
使用这种通用的存储过程进行分页查询,想要SQL注入,只能对输入的参数进行过滤,例如将一个单引号“’”转换成两个单引号“””,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效SQL注入,只有参数查询才是最终的解决方案。但问题就出在这种通用分页存储过程是在存储过程内部进行SQL语句拼接,根本无法修改为参数化的查询语句,因此这种通用分页存储过程是不可取的。但是如果不用通用的分页存储过程,则意味着必须为每个具体的分页查询写一个分页存储过程,这会增加不少的工作量。 经过几天的时间考虑之后,想到了一个用代码来生成参数化的通用分页查询语句的解决方案。代码如下: 代码如下:
参数查询为什么能够SQL注入
01-30
很多人都知道SQL注入,也知道SQL参数查询可以SQL注入,可为什么能注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
如此高效通用的分页存储过程是带有sql注入漏洞的
weixin_33709609的博客
03-09 85
在google中搜索“分页存储过程”会出来好多结果,是大家常用的分页存储过程,今天我却要说它是有漏洞的,而且漏洞无法通过修改存储过程进行补救,如果你觉得我错了,请读下去也许你会改变看法。   通常大家都会认为存储过程可以避免sql注入的漏洞,这适用于一般的存储过程,而对于通用分页存储过程是不适合的,请看下面的代码和分析!   一般的通用的分页存储过程代码如下:   通用分页存储过程CR...
关于sql注入的几种手段(一)
weixin_34092370的博客
01-12 214
其实特别不愿意说sql注入的问题,因为这的确是个老掉牙的问题了,但是仍然还有不少人在这方面自以为安全性做得很到位,或者说万事只要存储过程就可以注入,即全都参数化,这样对于某些复杂逻辑来说,sql存储过程写法太过于冗长,不如在C#拼凑sql,也有很多人鄙视拼凑sql的人,我觉得,看待sql注入这个问题,应该是从本质上来杜绝注入,而不是想当然的依靠存储过程,拒绝拼凑sql。我说一下我自己的经验吧 ...
通用分页存储过程注入问题解决方案:不用存储过程,通用分页查询方法
weixin_30700099的博客
02-27 67
最近发现,很久以前的一个 项目中的查询竟然会注入sql,原来是使用的通用的存储过程分页,里面有个参数是@wherestr,这个参数是在拼接sql,所以会造成注入,这个真是蛋疼的问题。 很多人没发现这个问题,所以在这里说一说,也希望找到完美的解决方法,首先过滤是不行的,过滤说白了是在改变用户的意志。所以我就写了一个通用分页的方法,动态拼接sql,这样参数化就可以完全分开了 首先先说一...
mybatis动态SQL和分页
weixin_42687829的博客
12-17 168
1、动态SQL 动态 SQL 元素和 JSTL 或基于类似 XML 的文本处理器相似。在 MyBatis 之前的版本中,有很多元素需要花时间了解。MyBatis 3 大大精简了元素种类,现在只需学习原来一半的元素便可。MyBatis 采用功能强大的基于 OGNL 的表达式来淘汰其它大部分元素。 (1)if 动态 SQL 通常要做的事情是根据条件包含 where 子句的一部分。比如: &l...
JPA多条件复杂SQL动态分页查询功能
08-25
主要介绍了JPA多条件复杂SQL动态分页查询功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
phpsql注入之过滤分页参数实例
10-25
主要介绍了phpsql注入中过滤分页参数的方法,实例展示了针对分页参数的数值判断问题,是非常具有实用价值的技巧,需要的朋友可以参考下
SQL参数化(SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
MyBatis分页插件PageHelper的使用及特殊字符的处理
最新发布
weixin_74268571的博客
08-25 1737
MyBatis分页插件PageHelper的使用及特殊字符的处理,PageHelper的简介及使用,特殊字符的几种处理方式,使用CDATA 区段
SQL注入:生成参数化的通用分页查询语句
weixin_30815469的博客
11-28 88
前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程。使用这种通用的存储过程进行分页查询,想要SQL注入,只能对输入的参数进行过滤,例如将一个单引号“'”转换成两个单引号“''”,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效SQL注入,只有参数查询才是最终的解决方案。但...
条件查询语句,避免sql拼接引起sql注入写法
wjy397的专栏
10-31 3369
para_count = (name,name,usertype,usertype) sql_count = """ select count(*) as counts from users where v_account_type !='tequia' AND (%s is NULL or v_username = %s) AND (%s i
SSM框架下SQL语句中注入多个参数的问题
tywiiu的博客
03-31 2638
    今天在写APP的时候,一个Insert语句需要插入多个参数,在网上总结了一下,我觉得这个方法是比较好的,话不多说,先贴代码首先是DAO层中的接口定义:public interface ActivityUserDao { public boolean insertMember(@Param("aIdFromBatis")int aId,@Param("uIdFromBatis")in...
pg sql 分页查询写法
05-27
在 PostgreSQL 中,可以使用 LIMIT 和 OFFSET 子句来进行分页查询。LIMIT 子句用于指定返回的记录数,OFFSET 子句用于指定查询的起始位置。 假设要查询第 11 到第 20 条记录,可以使用以下 SQL 语句: ``` SELECT ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值