SqlUtils 工具类

于 2024-08-21 17:08:10 发布
阅读量112 收藏 1
点赞数
分类专栏: JAJA常用工具类整理,DEOM展示,开箱即用 文章标签: RuoYi-Vue-Plus java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaxueba/article/details/141394710
版权

一、类代码展示

作用:校验sql注入风险

@NoArgsConstructor(access = AccessLevel.PRIVATE)
public class SqlUtil {

    /**
     * 定义常用的 sql关键字
     */
    public static final String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";

    /**
     * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)
     */
    public static final String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";

    /**
     * 检查字符,防止注入绕过
     */
    public static String escapeOrderBySql(String value) {
        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value)) {
            throw new UtilException("参数不符合规范,不能进行查询");
        }
        return value;
    }

    /**
     * 验证 order by 语法是否符合规范
     */
    public static boolean isValidOrderBySql(String value) {
        return value.matches(SQL_PATTERN);
    }

    /**
     * SQL关键字检查
     * 一般检查传入参数的sql注入风险
     */
    public static void filterKeyword(String value) {
        if (StringUtils.isEmpty(value)) {
            return;
        }
        //传入value中是否存在 SQL_REGEX中的数据库关键词
        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");
        for (String sqlKeyword : sqlKeywords) {
            if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) {
                throw new UtilException("参数存在SQL注入风险");
            }
        }
    }


}

二、测试检查sql关键字

方法:filterKeyword

    public static void main(String[] args) {
        filterKeyword("select * from user");
    }

打印结果

Exception in thread "main" com.ruoyi.common.exception.UtilException: 参数存在SQL注入风险
	at com.ruoyi.common.utils.sql.SqlUtil.filterKeyword(SqlUtil.java:55)
	at com.ruoyi.common.utils.sql.SqlUtil.main(SqlUtil.java:61)

三、测试校验排序

方法:isValidOrderBySql    :

  •  仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)
  • 过滤规则: SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+"

 常用排序举例:

 支持的用法如下:
 order by id asc
 order by id asc,create_time asc
 order by id desc,create_time desc
 order by id asc,create_time desc
  public static void main(String[] args) {
        //filterKeyword("select * from user");
        Console.log(isValidOrderBySql("id"));

        Console.log(isValidOrderBySql("id,sex"));

        Console.log(isValidOrderBySql("id,nick_name"));

        Console.log(isValidOrderBySql("id_,"));

        Console.log("校验不通过----------------------------------------");
        Console.log(isValidOrderBySql("id="));


    }

测试将结果:

true
true
true
true
校验不通过----------------------------------------
false

syfjava
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java Sql IN 条件拼接工具类SqlUtils工具类
蕃薯耀的博客
01-07 562
================================ ©Copyright蕃薯耀 2020-01-07 https://www.cnblogs.com/fanshuyao/ import java.util.ArrayList; import java.util.List; import org.apache.commons.lang.StringUtils; public ...
http请求工具类
04-23
http请求工具类 常见的post get请求
SqlUtils工具类mysql和oracle的java通用新增和更新sql
xiong305的博客
12-09 418
主要用于mysql和oracle的通用新增和更新。primaryKey 未主键key。低代码平台可能会用的比较多一点。SqlUtils工具类
SqlUtils工具类(jdbc封装常用操作)
cdut2016的博客
06-16 3092
对于jdbc有很多常用的操作,例如数据库的增删改查,代码如下: package mysql_jdbc; /** * @author Hercules * @version 创建时间:2020年6月13日 上午9:44:34 * JDBC的一个工具类,封装常用的增删改查的操作。 */ import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.s
SqlUtils工具类Sql IN 条件拼接工具类
蕃薯耀的博客
06-28 2298
ss SqlUtils { /** * * @param params List<Object>,sql执行的?参数List * @param sqlBuffer StringBuffer * @param column String,表字段,当column=user_name,生成如下:user_name in (?,?) * @param values Object[],问号(?)的数组值, */ public static
工具类应用
08-23
服务工具类文件,有小飞机和小帽子俩款文件,小飞机用2.0版本
oracle工具类
05-06
连接Oracles数据库工具类,查询、执行sql语句和存储过程。
CompletableFuture实现的工具类
04-24
CompletableFuture实现的工具类 ,使用泛型实现各类多线程操作,满足大部分要求
最新版工具类
07-07
在IT行业中,工具类是程序员日常开发中必不可少的一部分。它们通常是封装了常用功能或操作的静态类,可以提高代码的可复用性和开发效率。"最新版工具类"这个主题聚焦于Android开发中的辅助工具类,这些类可以帮助...
【Spring框架】
m0_71941456的博客
08-18 989
Spring框架的功能远不止于此,它还包括Spring MVC、Spring Data、Spring Security等多个模块,每个模块都有其独特的应用场景。
手撕快排——三种实现方法(附动图及源码)
jsjs1346的博客
08-16 945
🤖💻👨‍💻👩‍💻🌟🚀🤖🌟👨‍💻👩‍💻👨‍💻👩‍💻🚀是一种高效的排序算法,广泛应用于各种场景。它采用策略,将一个数组分成两个子数组,然后递归地对这两个子数组进行排序。本文将介绍三种快速排序的实现方法,并附上相应的源码。⚙️一、快速排序的基本原理一个基准元素(pivot)分成两个子数组递归合并O(n log n)O(n log n)O(n^2)后文我们将给出优化方案O(log n)📚三、实现霍尔方法是快速排序原始版本中使用的分区方法。
网上商品订单转手系统bootpf
weixin_43213064的博客
08-18 496
【代码】springboot网上商品订单转手系统bootpf
旅游网站
weixin_43213064的博客
08-16 1154
【代码】springboot旅游网站
Yolov8:模型部署到安卓端
最新发布
m0_70694811的博客
08-21 332
下载安装jdk-8u202-windows-x64.exe,这篇文章有百度网盘资源链接,直接下载,并按照这篇文章的JDK步骤进行安装和环境变量配置。C:\Program Files\Java\jdk-1.8\bin和C:\Program Files\Java\jdk-1.8\jre\bin。比如因为我的jdk路径是C:\Program Files\Java\jdk-1.8,所以这两个相对路径就改成。参考这边文章的USB驱动设置和手机端设置。同意协议后,下载相应版本的JDK。
二叉树(源码+lw+部署文档+讲解等)
lpw1012的博客
08-21 456
🌞博主介绍:✌全网粉丝15W+,CSDN特邀作者、211毕业、高级全栈开发程序员、大厂多年工作经验、码云/掘金/华为云/阿里云/InfoQ/StackOverflow/github等平台优质作者、专注于Java、小程序技术领域和毕业项目实战,以及程序定制化开发、全栈讲解、就业辅导✌🌞👇🏻精彩专栏 推荐订阅👇🏻2023-2024年最值得选的微信小程序毕业设计选题大全:100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全:500个热门选题推荐✅Java精品实战案例《500套》
如何使用 Java 记录简化 Spring Data 中的数据实体
08-20 344
Java 开发人员一直依赖Spring Data来实现高效的数据访问。但是,随着Java Records的引入,数据实体的管理方式发生了重大变化。在本文中,我们将讨论 Java Records 在 Spring Data 应用程序中的集成。我们将探讨使用 Java 记录创建健壮的数据实体的好处,并提供真实世界的示例来展示它们在 Spring Data 中的潜力。Java 记录的力量:概述J...
微服务框架
Founder_Xiao_Xin的博客
08-20 603
在分布式系统中,服务可能失败导致雪崩,Hystrix 是防雪崩利器,具有服务降级、服务熔断、服务隔离、监控等防止雪崩的技术。服务降级:接口调用失败调用本地方法返回空。服务熔断:接口调用失败进入熔断方法返回错误信息。服务隔离:隔离服务之间相互影响。服务监控:记录服务调用的运行指标。在分布式系统中,一个业务因跨越不同数据库或不同微服务而包含多个子事务,要求所有子事务同时成功或失败,这就是分布式事务。例如某电商系统下单操作,需请求订单服务、账户服务、库存服务。
day23 Java基础——数组详解
Qhumaing的博客
08-17 944
1. 数组的概述 2. 数组的声明和创建 2.1 声明数组 2.2 创建数组 2.3 内存分析 2.4 数组的三种初始化 静态初始化 动态初始化 数组的默认初始化 3. 数组的使用 3.1 访问数组元素 3.2 数组的遍历 3.3 数组的复制 3.4 数组的排序 3.5 数组的搜索 4. 多维数组 4.1 声明多维数组 4.2 创建多维数组 4.3 访问多维数组元素 4.4 多维数组的遍历 4.5 多维数组的复制 4.6 多维数组的排序 4.7 注意事项 5. Arrays类 5.1 排序 5.2 二分搜索
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

syfjava

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值