sql防止注入 like 和 in 应该怎么写

最新推荐文章于 2023-05-29 16:47:27 发布
最新推荐文章于 2023-05-29 16:47:27 发布
阅读量6.3k 收藏 1
点赞数
分类专栏: 其他 文章标签: sql 防止注入 like in
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gisam/article/details/77575208
版权 
这是in的写法
public List ins(String ids){
    String where = " where 1=1";
    List<String> wlist  = new ArrayList();
    String tms = "";
    if(ids!=null){
        String[] s = ids.split(",");
        for(int i = 0;i<s.length;i++){
            if(i==0){
                tms+="?";
            }else{
                tms+=",?";
            }
            wlist.add(s[i]);
        }
        where+=" and id in("+tms+")";
    }
    String sql = "select * from t_project "+where;
    List tlist = jdbcTemplate.queryForList(sql,wlist.toArray());
    System.out.println(""+tlist.size());
    return tlist;
}
 

这是like 的写法
 

String where = " where 1=1 ";
 

List<String> wlist  = new ArrayList();
if(projectName!=null){
    where+=" and project_name like ?";
    wlist.add("%"+projectName+"%");
}



                

        

        

    




    

      

        

            

              
                
                  我不是gg
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
预防XSS攻击和SQL注入XssFilter

				
			

			

				

					05-19
				

			

		

		

			
				
一、什么是XSS攻击
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

二、XSS漏洞的危害
(1)网络钓鱼,包括盗取各类用户账号;
(2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
(3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等;
(4)强制弹出广告页面、刷流量等;
(5)网页挂马;
(6)进行恶意操作,例如任意篡改页面信息、删除文章等;
(7)进行大量的客户端攻击,如DDoS攻击;
(8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等;
(9)控制受害者机器向其他网站发起攻击;
(10)结合其他漏洞,如CSRF漏洞,实施进一步作恶;
(11)提升用户权限,包括进一步渗透网站;
(12)传播跨站脚本蠕虫等; 
三、过滤器配置
web.xml配置
 
  XssFilter
  com.xxx.Filter.XssFilter
 
 
 
  XssFilter
  /*

			
		

	



                

              
                



	

		

			

				
					
Mybatis预防SQL注入之like模糊查询整理

				
			

			

				

					qq_34868715的博客
				

				

					09-11
					
					6670
					
				

			

		

		

			
				
#{}是经过预编译的,是安全的;${}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入。
如果order by语句后用了${},那么不做任何处理的候是存在SQL注入危险的。只能手动处理过滤一下输入的内容。如判断一下输入的参数的长度是否正常(注入语句一般很长),更精确的过滤则可以查询一下输入的参数是否在预期的参数集合中。
‘#’与 ‘$’ 的区别最大在于:#{} 传入值sql解析...

			
		

	



                


  
              

                


	

		

			

				
					
模糊查询LIKE语句的SQL注入预防

				
			

			

				

					校尉的博客
				

				

					11-24
					
					3566
					
				

			

		

		

			
				
一、在iBatis或者myBatis模糊查询的LIKE语句避免采用如下写法,否则会导致SQL注入;




[sql] view
 plain copy






   select id="INSTITUTIONS-GET-PARAMS" resultMap="INSTITUTIONSDO-MAP" parameterClass="java.util.Map">  


			
		

	





	

		

			

				
					
5、jdbc直连模式下的迷糊查询关键字in防止sql注入的理解

				
			

			

				

					q17709583436的博客
				

				

					05-19
					
					397
					
				

			

		

		

			
				
一般我们处理sql注入问题都是通过参数化查询,但是有些sql对于有些迷糊查询的sql 语句比如


String sql = "selet * from  table_name  where  target_id   in ('111','222','333','444')";

那么我们如果对这种进行参数化查询呢?

1、首先我们要变成问号?

使用的方法是:


public static String getMe(Collection<String> params) {
    Strin

			
		

	



		

			
		



	

		

			

				
					
mybatis 防sql注入like的写法

				
			

			

				

					weixin_34270606的博客
				

				

					11-29
					
					426
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
sql防止in注入方法

					
最新发布

				
			

			

				

					飞鱼的博客
				

				

					05-29
					
					433
					
				

			

		

		

			
				
上面的代码中,当输入的参数为空,我们为 SQL 语句加入了一个恒不成立的条件“1=0”,告诉数据库不需要返回任何记录,避免执行非意义的查询。否则,我们可以组装出正确的带有 “IN” 操作符的 SQL 语句。值得注意的是,如果您使用参数化查询,那么 EFCore 将自动处理NULL值。因此,如果数据库列包含NULL值,则可以将它们视为有效结果之一。// 如果参数值为空,则返回无数据。

			
		

	





	

		

			

				
					
MySQL in语句防止SQL注入

				
			

			

				

					weixin_44609018的博客
				

				

					06-08
					
					1371
					
				

			

		

		

			
				
入参采用需要查询的字段集合,例如下面的 userIds 类型为List
USER_ID IN
   <foreach collection="userIds" item="item" open="(" separator="," close=")">
          #{item}
   </foreach>




			
		

	





	

		

			

				
					
程序中一种用in的sql注入的方法(小技巧)

				
			

			

				

					weixin_30853329的博客
				

				

					03-09
					
					373
					
				

			

		

		

			
				
实际就是拼一个动态的静态参数,随便一,别挑语法,呵呵
strings = "'2'OR 1=1 --'";
 int i = 10;
 SqlParameter[] parameters = new SqlParameter[i];
 for (int j = 0; j < i; j++)
...

			
		

	





	

		

			

				
					
SQL避免IN 和 NOT IN

					
热门推荐

				
			

			

				

					qy20115549的博客
				

				

					07-12
					
					1万+
					
				

			

		

		

			
				


IN 和 NOT IN
改法





IN 和 NOT IN

在SQL查询中,有候我们要抽取不在另一张表或者在另外一种表中的数据,有会使用到或者想到关键字IN 和 NOT IN。例如下面的sql语句:



select car_id from caridincarport where car_id not in  (select car_id from caridinccomment...

			
		

	





	

		

			

				
					
sql注入通用程序sqlin

				
			

			

				

					06-20
				

			

		

		

			
				
sql注入通用程序源码,研究sql注入从而攻击

			
		

	





	

		

			

				
					
C#使用带like的sql语句sql注入的方法

				
			

			

				

					09-04
				

			

		

		

			
				
主要介绍了C#使用带like的sql语句sql注入的方法,采用了一个比较简单的字符串过滤方法就可以有效提高sql语句的安全性,防止sql注入,需要的朋友可以参考下

			
		

	





	

		

			

				
					
C# MVC 过滤器防止SQL注入

				
			

			

				

					09-15
				

			

		

		

			
				
C# MVC 过滤器防止SQL注入

			
		

	





	

		

			

				
					
使用Python防止SQL注入攻击的实现示例

				
			

			

				

					09-16
				

			

		

		

			
				
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

			
		

	





	

		

			

				
					
C#防SQL注入代码的三种方法

				
			

			

				

					12-31
				

			

		

		

			
				
对于网站的安全性,是每个网站开发者和运营者最关心的问题。网站一旦出现漏洞,那势必将造成很大的损失。为了提高网站的安全性,首先网站要防注入,最重要的是服务器的安全... C#防SQL注入方法一  在Web.config文件中

			
		

	





	

		

			

				
					
SQL注入

				
			

			

				

					lidna242的专栏
				

				

					07-02
					
					528
					
				

			

		

		

			
				
什么是SQL注入SQL Injection) 
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。尝尝SQL注入 
1.   一个简单的登录页面 
关键代码:(详细见下载的示例代码)privat

			
		

	





	

		

			

				
					
C# sql语句拼接 like情况的防sql注入的用法

				
			

			

				

					weixin_34192993的博客
				

				

					09-04
					
					134
					
				

			

		

		

			
				
  今天下午同事问我一个比较基础的问题,在拼接sql语句的候,如果遇到Like的情况该怎么办。
  我原来的写法就是简单的拼接字符串,后来同事问我如果遇到sql注入怎么办。我想了下,这确实是个问题。
  刚在网上找了下相关的说明,原来是这样的。
  如这样一个sql语句:
  

select * from game where gamename like '%张三%'


...

			
		

	





	

		

			

				
					
SQL中,有效防止like的SQL注入,使用预编译SQL(?)写法

				
			

			

				

					dream317
				

				

					12-18
					
					3085
					
				

			

		

		

			
				
今天在SQL语句的模糊查询,遇到了防止like的SQL注入,通过查询,具体防止方法如下:


Mysql数据库

sql = " and indexNum like concat('%',?,'%') "



Oracle

sql = " like '%' || ? || '%' "



SQL Server

sql = " like '%' + ? + '%' "
...

			
		

	





	

		

			

				
					
SQL语句查询防止SQL语句注入的方法之一

				
			

			

				

					牛栏山矿泉水
				

				

					02-12
					
					115
					
				

			

		

		

			
				
1、传参有可能出现SQL语句注入

StringBuffer sb = new StringBuffer();

if(StringUtils.isNotBlank(areaCode))
{
	sb.append("and t.area_code =  '").append(areaCode).append("' ");
}

SQLQuery query = getSession().cre...

			
		

	





	

		

			

				
					
python like 防止sql 注入

				
			

			

				

					04-27
				

			

		

		

			
				
Python中如何防止SQL注入?  在Python中,可以使用参数化查询来防止SQL注入。参数化查询是将SQL查询和参数分开,将参数作为输入传递给查询,从而避免SQL注入。下面是一个使用参数化查询的示例代码:  import mysql....

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值