如何确定jdbc预编译sql中的?位置

已于 2022-07-28 14:32:32 修改
阅读量222 收藏
点赞数
文章标签: sql mybatis 数据库 java spring boot
于 2022-07-28 14:29:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36532893/article/details/126032905
版权
本文介绍如何通过JDBC PreparedStatement的toString方法,拦截SQL中的limit和in中的问号,实现参数长度限制,防止性能消耗过大。作者分享了拦截器实现原理和代码实例,以应对大数据查询限制需求。
摘要由CSDN通过智能技术生成

如何确定jdbc预编译sql中的?位置

前景介绍

最近接到个新任务,需要利用mybatis拦截器对sql语句中的limit ?,xxx中的?进行拦截,数值过大则拒绝此sql执行

思考

之前想到了,利用sql字段中的?字段进行分组,再遍历 确定limit后问号的位置,再取其值判断大小

问题

由于sql的不确定性,该想法暴露了很多问题,如select * from xx where xx like ‘xxx?xxx’ and xxx;甚至
select * from xx where xx like ‘xxx?xxx’xxx’ and xx导致问号分组无法继续。

解决

据对jdbc 的了解,我们经常写的一句预编译代码是

    PreparedStatement preparedStatement = (PreparedStatement) connection.prepareStatement(sql);

当我们debug到此时,发现返回的对象其tostring方法中不仅包含了对象地址,还包含了已经讲?替换为占位符的sql,
我们可以点开PreparedStatement可以看到,其为一个接口,其具体实现为ClientPreparedStatement,进入ClientPreparedStatement,找到其toString方法,可以看到其后拼接了一个assql的方法
在这里插入图片描述
一路进入assql方法,即为jdbc对占位符的处理,感兴趣的可以自己去研究一下
在这里插入图片描述

此为真正将?换为占位符方法

在这里插入图片描述

以下为完整代码,防止遗忘

拦截limit 第一个?值

@Intercepts(@Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class}))
public class SelectLimitInterceptor implements Interceptor {
    private Logger logger = LoggerFactory.getLogger(getClass());
    private final PropertiesConfig config;

    public SelectLimitInterceptor(PropertiesConfig config) {
        this.config = config;
    }

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = (StatementHandler) invocation.getTarget();
        BoundSql boundSql = statementHandler.getBoundSql();
        String sql = boundSql.getSql();
        Statement proceed = (Statement) invocation.proceed();
        if (sql.contains(" limit ")) {
            Connection connection = proceed.getConnection();
            PreparedStatement preparedStatement = (PreparedStatement) connection.prepareStatement(sql);
            //拿到预编译sql
            String preSql = preparedStatement.toString();
            //按占位符分割
            String[] split = preSql.split("\\*\\* NOT SPECIFIED \\*\\*");
            for (int i = 0; i < split.length; i++) {
                if (split[i].matches("(|.*) limit\\s+$")) {
                    Map parameterObject = (Map) boundSql.getParameterObject();
                    Object o = parameterObject.get("param" + (i + 1));
                    //考虑分页参数类型 string integer biginteger
                    if (o != null && new BigInteger(o.toString()).compareTo(new BigInteger(config.getPageIndex().toString())) >= 0) {
                        logger.error("sql:{} limit超出限制行数:{}", sql, "100");
                        logger.error("预编译sql:{}", preSql);
                        throw new RuntimeException("sql分页查询太长,禁止查询");
                    }
                }
            }
        }
        return proceed;
    }

    @Override
    public Object plugin(Object target) {
        return target instanceof StatementHandler ? Plugin.wrap(target, this) : target;
    }

    @Override
    public void setProperties(Properties properties) {
    }
}

拦截in中?个数

@Intercepts({@Signature(
        type = StatementHandler.class,
        method = "prepare",
        args = {Connection.class, Integer.class}
)})
public class SelectInSizeInterceptor implements Interceptor {
    private Logger logger = LoggerFactory.getLogger(getClass());
    private final PropertiesConfig config;

    public SelectInSizeInterceptor(PropertiesConfig config) {
        this.config = config;
    }

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        Statement proceed = (Statement) invocation.proceed();
        if (invocation.getTarget() instanceof StatementHandler) {
            StatementHandler statementHandler = (StatementHandler) invocation.getTarget();
            BoundSql boundSql = statementHandler.getBoundSql();
            String sql = boundSql.getSql();
            //判断sql中是否包含in并且括号中有?
            if (sql.matches("[\\s\\S]*in(|\\s+)\\([\\s\\S]*\\?[\\s\\S]*\\)[\\s\\S]*")) {
                Connection connection = proceed.getConnection();
                PreparedStatement preparedStatement = (PreparedStatement) connection.prepareStatement(sql);
                //拿到预编译sql
                String preSql = preparedStatement.toString();
                //按占位符分割
                String[] split = preSql.split("\\*\\* NOT SPECIFIED \\*\\*");
                int length = split.length;
                int j = 0;
                Boolean flag = false;
                if (length > 0) {
                    for (int i = 0; i < length; i++) {
                        //匹配 in( 或者 in('xxx',
                        if (split[i].matches("^[\\s\\S]*in(|\\s+)\\((|[\\s\\S]*,)$")) {
                            flag = true;
                            j++;
                        } else if (flag && split[i].contains(",")) {
                            j++;
                            //匹配)xxx或者   )xxx
                        } else if (flag && split[i].matches("(|\\s+)\\)[\\s\\S]*")) {
                            flag = false;
                        }
                    }
                }
                //考虑分页参数类型 string integer biginteger
                if (j >= config.getInSize()) {
                    logger.error("sql:{} in参数超出限制,限制个数为:{}", sql, config.getInSize());
                    logger.error("预编译sql:{}", preSql);
                    throw new RuntimeException("sql查询in条件太长,禁止查询");
                }
            }
        }
        return proceed;
    }

    @Override
    public Object plugin(Object target) {
        return target instanceof StatementHandler ? Plugin.wrap(target, this) : target;
    }

    @Override
    public void setProperties(Properties properties) {
    }
}

拦截执行结果,记录条数

@Intercepts({@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class})
        , @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class})})
public class ResultInterceptor implements Interceptor {
    private Logger logger = LoggerFactory.getLogger(getClass());
    private final PropertiesConfig config;

    public ResultInterceptor(PropertiesConfig config) {
        this.config = config;
    }

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];
        Object parameter = null;
        if (invocation.getArgs().length > 1) {
            parameter = invocation.getArgs()[1];
        }
        BoundSql boundSql = mappedStatement.getBoundSql(parameter);
        Object result = invocation.proceed();
        if (result instanceof List){
            List lists=(List)result;
            int size = lists.size();
            if (size> config.getResultSize()){
                logger.error("当前sql:{},返回结果超出限制行:{}行",boundSql.getSql(),config.getResultSize());
            }
        }
        return result;
    }

    @Override
    public Object plugin(Object target) {
        return target instanceof Executor ? Plugin.wrap(target, this) : target;
    }

    @Override
    public void setProperties(Properties properties) {
    }
}
qq_36532893
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC连接数据库_SQL预编译
坤坤
03-01 389
预编译SQL可以有效的防止SQL注入package cn.tedu.jdbc.day02;import java.sql.Connection;import java.sql.PreparedStatement;/* * 演示预编译SQL执行计划 *  */public class Demo04 { public static void main(String[] args) { Connec...
Java新人之路 -- JDBC预编译
m0_51709303的博客
12-09 2233
JDBC预编译 原始的JDBC操作,因为SQL语句可以通过字符串进行拼接,因此会出现SQL注入问题,这样是不安全的。 所以我们使用占位符 “?” 来直接修改SQL语句 示例: insert into emp(eno,ename,phone) values(?,?,?); select e.eno,e.ename,e.phone from emp e where e.eno=?; 关键词 PreparedStatement 是Statement的子接口 PreparedStatement 表示预编译
JDBC预编译语句
HelyD的博客
09-08 1152
静态SQL直接将SQL语句完全写完,即不方便也不便捷, 所以提供预编译语言对象 Statement接口用于执行静态SQL数据库操作也提供一种预编译语句 PreparedStatement表示预编译SQL 语句的对象。 在写SQL语句式,所有传递参数的位置都使用 ? 作为占位符存在 通过当前接口下setXXX(位置符号,实际传入的值) 如何看?是哪个位置 –&gt; ? 是从...
JDBC使用预编译
Albdon的博客
03-24 1264
import java.sql.*; 注册驱动(不同的数据库驱动不同) Class.forName("com.ibm.db2.jcc.DB2Driver"); 创建连接对象 Connection conn = DriverManager.getConnection(url,username,password); 创建预编译命令对象 PreparedStatement pstat = conn.prepareStatement(sql); pstat.setInt(1,1); //给第1个
sql语句where子句like的用法详解
zxflzyzlckkll的博客
07-17 3128
SQL结构化查询语言,LIKE语句有着至关重要的作用。 LIKE语句的语法格式是:select * from 表名 where 字段名 like 对应值(子串),它主要是针对字符型字段的,它的作用是在一个字符型字段列检索包含对应子串的。 假设有一个数据库有个表table1,在table1有两个字段,分别是name和sex二者全是字符型数据。现在我们要在姓名字段查询以“张”字开头的记
JDBC批量插入遇到的坑
ZY4444444的博客
06-14 2054
首先看代码,这段代码是测试插入多条数据耗时。 测试环境:jdk1.8,mysql-5.7.27-winx64,mysql-connector-java-5.1.10.jar public class Test { /** * rewriteBatchedStatements=true 开启批量更新 */ private static final String URL = "jdbc:mysql://localhost:3306/test?character..
JDBC之PreparedStatement类预编译的综合应用解析
09-05
PreparedStatement是Java JDBC用于执行预编译SQL语句的接口,它是Statement的子接口。预编译SQL语句可以提高数据库操作的性能和安全性。在数据库系统预编译意味着SQL语句在首次执行前已经过编译,形成一个...
JDBC如何有效防止SQL注入?
12-14
1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成...
sqljdbc4,SQLserver架包
07-26
4. **预编译SQL语句**:预编译语句(PreparedStatement)能防止SQL注入攻击,并且在多次执行相同SQL时有更优的性能,因为服务器端只需解析一次SQL模板。 5. **事务管理**:sqljdbc4支持JDBC的事务控制,可以进行...
适用SQL Server 2016版本的数据库加载驱动包jdbc
最新发布
03-19
1. **导入驱动**:在Java项目,你需要将解压后的"sqljdbc"目录的`mssql-jdbc-<version>.jar`文件添加到项目的类路径。这样,Java虚拟机在运行时就可以找到并加载该驱动。 2. **建立连接**:在Java代码,你...
java_JDBC预编译相关知识点参照.pdf
01-10
总的来说,预编译语句PreparedStatement是Java JDBC提高性能和保障安全性的重要工具,尤其是在处理大量重复的SQL操作和处理用户输入时。正确使用PreparedStatement,能够有效地优化数据库操作,并增强应用程序的...
setObject()方法报错Parameter index out of range以及MySQLSyntaxErrorException报错
weixin_43723790的博客
02-27 676
setObject()方法报错Parameter index out of range以及com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException报错 学习sql过程使用PreparedStatement的setObject() 方法对占位符?进行替换时,出现Parameter index out of range报错 错误情况: 1、占位符的数量与传递的Object[]数组元素个数不同 2、占位符使用了文的?而不是? 这两个不同 3、inde
sqljdbc在tomcat目录位置_用制表符建立Word目录,方便又灵活
weixin_39611340的博客
01-14 63
您好,欢迎来到【爆炒Office】,这里有原创的实用办公软件技巧。概述在Word文档制作目录时,通常使用插入目录功能。当然,那就意味着,进入目录的文字内容必须应用了样式,或者使用了大纲级别等特殊格式。如果正文的内容没有使用这些样式,是否也可以建立目录呢?可以试试使用制表符来制作。操作软件及版本 Word 2016第1步打开Word,建立空白文档。第2步在页面输入各个章节的标题和开始的页码。...
php sql查询占位符,sql语句占位符预先编译语句tp操作方法
weixin_35479284的博客
03-10 463
sql语句占位符预先编译语句tp操作方法首页 >Mysql作者:YUKI2018年4月9日 10:49 星期一热度:563°百度已收录时间:2018-4-9 10:49热度:563°//参数绑定// Db::execute('insert into tp_data (id, name ,status) values (?, ?, ?)', [3, 'thinkphp', 1])...
预处理语句占位符的使用
xueling022的专栏
11-19 4223
预处理语句占位符的使用,方法绑定参数,sql注入等..try{ $user = "root"; // 这里是你的数据库用户名 $pwd = "yangli"; // 这是是你的数据库密码 $pdo = new PDO("mysql:dbname=test;host=127.0.0.1", $user, $pwd); }catch(PDOException$e){ ec
sql 预编译 & 防止sql注入:
梦~'
10-10 3976
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
jdbc连接mysql数据库url在哪看_jdbc联接数据库,看main方法在哪里写?
weixin_28966407的博客
02-06 1805
import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;public class DBConnection {private static final String DRIVER ...
SQL预编译
weixin_47804371的博客
03-22 6483
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
JDBC | 第三章: SQL预编译与防注入CRUD操作
qq_39449880的博客
02-14 1798
SQL预编译与防注入CRUD操作
jdbc 预编译批量更新
06-01
JDBC预编译批量更新指的是在JDBC使用PreparedStatement预编译SQL语句,然后把多个SQL语句一次性发送到数据库执行,这样可以提高数据库的性能。具体步骤如下: 1.使用PreparedStatement预编译SQL语句 ```java ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值