找到sql里面参数字段占位符的位置,方便对字段进行加密存储

已于 2024-08-21 17:35:08 修改
阅读量136 收藏
点赞数 3
文章标签: sql windows 数据库
于 2024-08-21 17:31:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37148232/article/details/141398955
版权

CCJSqlParserUtil工具是强大,难用也是真的,得分析sql的各种各样的表达式。从中递归找出业务需要的。

public class SqlExpressionAnalyzer {


    public static void main(String[] args) {
        String sql = "select id,user_name from sys_user t1,sys_office t2 where t1.id=t2.id and mobile =? and user_name like '%abc%' and user_name like ? and user_name like ?  and position=? and bbb in ('1','2') and ccc in (?,?) and sex='1' and (photo='abc' or headImg='abc' or user_name like '%abc%')  and nation='2'" +
                " and id in (select id from relation_user where acc=?) and user_name in (select user_name from table_3 where user_name in (?,?,?,?,?) and user_name in ('1','3','4')) " +
                "and mobile =(case when is_using=1 then '1' when is_using=0 then '2' else '3' end)";

        String updateSql = "update sys_user set mobile=?,user_name='张三' where mobile='1' and id='1'";

        String insertSql = "insert into sys_user (id,mobile,user_name) values (?,?,?)";

        String delSql = "delete from sys_user where mobile=? and user_name=? and mobile in (?,?,?,?,?) and user_name in ('李四','张三')";
        AnalyzerResult analyzerResult = parse(delSql);
        System.out.println(analyzerResult);
    }

    public static AnalyzerResult parse(BoundSql boundSql) {
        return null != boundSql ? parse(boundSql.getSql()) : AnalyzerResult.empty();
    }

    public static AnalyzerResult parse(String sql) {
        Statement statement;
        try {
            statement = CCJSqlParserUtil.parse(sql);
        } catch (JSQLParserException e) {
            throw new LocalException(e.getMessage());
        }
        if (statement instanceof Select) {
            return analyzeSelect((Select) statement);
        } else if (statement instanceof Update) {
            return analyzeUpdate((Update) statement);
        } else if (statement instanceof Insert) {
            return analyzerInsert((Insert) statement);
        } else if (statement instanceof Delete) {
            return analyzerDelete((Delete) statement);
        }
        return AnalyzerResult.empty();

    }

    private static AnalyzerResult analyzerInsert(Insert insert) {
        AnalyzerResult analyzerResult = new AnalyzerResult(insert.getTable());
        List<Column> columns = insert.getColumns();
        List<Expression> setExpressionList = insert.getSetExpressionList();
        if (null != setExpressionList && setExpressionList.size() == columns.size()) {
            analyzerResult.putResults(columns, setExpressionList);
        } else {
            ItemsList itemsList = insert.getItemsList();
            if (itemsList instanceof ExpressionList) {
                ExpressionList expressionList = (ExpressionList) itemsList;
                List<Expression> expressions = expressionList.getExpressions();
                analyzerResult.putResults(columns, expressions);
            } else if (itemsList instanceof MultiExpressionList) {
                MultiExpressionList multiExpressionList = (MultiExpressionList) itemsList;
                List<ExpressionList> exprList = multiExpressionList.getExprList();
                for (ExpressionList expressionList : exprList) {
                    List<Expression> expressions = expressionList.getExpressions();
                    analyzerResult.putResults(columns, expressions);
                }
            }
        }
        return analyzerResult;
    }

    private static AnalyzerResult analyzerDelete(Delete delete) {
        AnalyzerResult result = new AnalyzerResult(delete.getTable());
        Expression where = delete.getWhere();
        analyzeWhere(where, result);
        if (result.isExitReplaceStr()) {
            result.setReplaceSql(delete.toString());
        }
        return result;
    }

    private static AnalyzerResult analyzeUpdate(Update update) {
        List<Table> tables = update.getTables();
        if (tables.isEmpty()) {
            return AnalyzerResult.empty();
        }
        AnalyzerResult result = new AnalyzerResult(tables.get(FIRST));

        List<Column> columns = update.getColumns();
        List<Expression> expressions = update.getExpressions();
        result.putResults(columns, expressions);

        Expression where = update.getWhere();
        analyzeWhere(where, result);
        if (result.isExitReplaceStr()) {
            result.setReplaceSql(update.toString());
        }
        return result;
    }

    private static AnalyzerResult analyzeSelect(Select select) {
        PlainSelect plainSelect = (PlainSelect) select.getSelectBody();
        // 分析表达式
        AnalyzerResult result = new AnalyzerResult((Table) plainSelect.getFromItem());

        analyzeWhere(plainSelect.getWhere(), result);
        // 替换sql
        if (result.isExitReplaceStr()) {
            result.setReplaceSql(plainSelect.toString());
        }
        return result;
    }

    private static void analyzeWhere(Expression expression, AnalyzerResult result) {
        if (null == expression) {
            return;
        }
        // 正常xxx xxx xxx
        if (expression instanceof BinaryExpression) {
            BinaryExpression binaryExpression = (BinaryExpression) expression;
            Expression leftExpression = binaryExpression.getLeftExpression();
            Expression rightExpression = binaryExpression.getRightExpression();

            boolean isColumn = leftExpression instanceof Column;
            boolean isString = rightExpression instanceof StringValue;
            boolean isJdbc = rightExpression instanceof JdbcParameter;
            boolean isValue = isString || isJdbc;
            if (isColumn && isValue) {
                Column column = (Column) leftExpression;
                boolean isLike = expression instanceof LikeExpression;
                result.putResult(column, rightExpression, isLike);
            } else {
                analyzeWhere(leftExpression, result);
                analyzeWhere(rightExpression, result);
            }
        // in查询
        } else if (expression instanceof InExpression) {
            InExpression binaryExpression = (InExpression) expression;
            Expression leftExpression = binaryExpression.getLeftExpression();
            ItemsList rightItemsList = binaryExpression.getRightItemsList();
            ItemsList leftItemsList = binaryExpression.getLeftItemsList();
            if (leftExpression instanceof Column) {
                Column column = (Column) leftExpression;
                boolean isInValue = false;
                ExpressionList expressionList = null;
                if (rightItemsList instanceof ExpressionList) {
                    isInValue = true;
                    expressionList = (ExpressionList) rightItemsList;
                } else if (leftItemsList instanceof ExpressionList) {
                    isInValue = true;
                    expressionList = (ExpressionList) leftItemsList;
                }
                if (isInValue) {
                    result.putResults(column, expressionList.getExpressions());
                } else {
                    if (rightItemsList instanceof Expression) {
                        analyzeWhere((Expression) rightItemsList, result);
                    }
                    if (leftItemsList instanceof Expression) {
                        analyzeWhere((Expression) leftItemsList, result);
                    }
                }
            }
        // 子语句
        } else if (expression instanceof Parenthesis) {
            Parenthesis parenthesis = (Parenthesis) expression;
            Expression parenthesisExpression = parenthesis.getExpression();
            analyzeWhere(parenthesisExpression, result);
        // 子查询
        } else if (expression instanceof SubSelect) {
            SubSelect subSelect = (SubSelect) expression;
            PlainSelect selectBody = (PlainSelect) subSelect.getSelectBody();
            Expression where = selectBody.getWhere();
            analyzeWhere(where, result);
        // case when里面的when条件
        } else if (expression instanceof CaseExpression) {
            CaseExpression caseExpression = (CaseExpression) expression;
            List<WhenClause> whenClauses = caseExpression.getWhenClauses();
            if (ZYListUtils.isNotEmptyList(whenClauses)) {
                for (WhenClause whenClause : whenClauses) {
                    Expression whenExpression = whenClause.getWhenExpression();
                    analyzeWhere(whenExpression, result);
                }
            }
        } else {
            log.warn("not handle expression" + expression.getClass());
        }
    }

}

@Data
public class AnalyzerResult {

    private boolean exitReplaceStr = false;

    private String replaceSql;

    private String tableName;

    private List<ColumnInfo> jdbcColumnInfos = new ArrayList<>();

    private List<ColumnInfo> signJdbcColumnInfos = new ArrayList<>();

    public AnalyzerResult(Table table) {
        this.tableName = table.getName();
    }

    public AnalyzerResult() {
    }

    public Set<Integer> getCryptIndexs() {
        Set<Integer> cryptIndexs = new HashSet<>();
        for (ColumnInfo jdbcColumnInfo : jdbcColumnInfos) {
            cryptIndexs.add(jdbcColumnInfo.getJdbcIndex());
        }
        return cryptIndexs;
    }

    public void putResults(Column column, List<Expression> expressions) {
        if (null != expressions) {
            for (Expression expression : expressions) {
                putResult(column, expression, false);
            }
        }
    }

    public void putResults(List<Column> columns, List<Expression> expressions) {
        if (ZYListUtils.isSingletonList(columns) || ZYListUtils.isEmptyList(expressions)) {
            return;
        }
        for (int i = 0; i < columns.size(); i++) {
            Column column = columns.get(i);
            Expression expression = expressions.get(i);
            this.putResult(column, expression);
        }
    }

    public void putResult(Column column, Expression expression) {
        putResult(column, expression, false);
    }

    public void putResult(Column column, Expression expression, boolean isLike) {
        if (SecurityColumnProviders.matchSecret(this.tableName, column)) {
            if (expression instanceof JdbcParameter) {
                JdbcParameter jdbcParameter = (JdbcParameter) expression;
                this.jdbcColumnInfos.add(new ColumnInfo(column, jdbcParameter));
            } else if (expression instanceof StringValue) {
                this.setExitReplace();
                toReplaceString((StringValue) expression, isLike);
            }
        }

        if (SecurityColumnProviders.matchSign(this.tableName, column)) {
            if (expression instanceof JdbcParameter) {
                JdbcParameter jdbcParameter = (JdbcParameter) expression;
                this.signJdbcColumnInfos.add(new ColumnInfo(column, jdbcParameter));
            }
        }

    }

    private void toReplaceString(StringValue rightExpression, boolean isLike) {
        String value = rightExpression.getValue();
        if (ZYStrUtils.isNull(value)) {
            return;
        }
        SecretProviders secretProviders = ZYSpringUtils.getBean(SecretProviders.class);
        if (null == secretProviders) {
            throw new LocalException("secretProviders is null");
        }
        if (isLike && value.startsWith("%") && value.endsWith("%")) {
            String valueItem = value.substring(1, value.length() - 2);
            String encryptValue = secretProviders.encrypt(valueItem);
            rightExpression.setValue("%" + encryptValue + "%");
        } else {
            rightExpression.setValue(secretProviders.encrypt(value));
        }
    }


    private void setExitReplace() {
        this.exitReplaceStr = true;
    }

    public static AnalyzerResult empty() {
        return new AnalyzerResult();
    }
}
浅度差文
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sensitive:案例类字段掩盖
03-06
1. 替换:这是最简单的方法,将敏感字段的值替换为占位符,比如星号(*)或者随机生成的新值,确保原始信息不被泄露。 2. 加密:使用加密算法对敏感字段进行处理,只有拥有解密密钥的人才能恢复原数据。这种方式在...
非常好用的asp备份,还原SQL数据库的代码
10-30
另外,代码示例中提到的路径“c:\$1.bak”中的“$1”是一个占位符,用于动态替换为具体数据库名称。同时,表单中隐藏了实际的数据库名,要求用户手动输入,这可以防止未授权用户通过表单提交进行数据库操作。 最后...
【 Mybatis拦截器 + jsqlparser 实现加解密(修改SQL)】
NeverTure的博客
06-10 979
加解密拦截,实现加密入库,解密模糊查询
SQLSERVER存储过程语法详解
热门推荐
javawutuobang的博客
09-01 1万+
1 2 3 4 5 6 7 8 9 10 11 CREATE PROC [ EDURE ] procedure_name [ ; number ]     [ { @parameter data_type }         [ VARYING ] [ = default ...
SQL语句
m0_66372974的博客
03-20 779
create database 库名;
nodejs mysql 占位符_#NodeJS# MySQL的介绍安装使用以及使用NodeJS链接MySQL实现增删改查...
weixin_35813719的博客
01-19 195
mysql介绍什么是mysql?mysql是⼀一个数据库管理理系统。数据库存储、管理理数据的仓库。mysql环境安装配置请自行百度安装过程出现错误总结:执行mysqld出现以下错误,可能是电脑缺少VC++ 2015运行库,安装一下就可以了了VC++2015下载地址:https://www.microsoft.com/zhCN/download/details.aspx?id=48145net s...
sql.rar_SQL防注入_asp 防注入_sql注入_防破
09-22
在创建SQL语句时,不要直接拼接用户输入,而是使用参数占位符,然后将用户输入作为参数传递。这样可以确保即使输入包含特殊字符,也不会被解释为SQL命令的一部分。 另外,限制数据库用户的权限也是必要的。创建特定...
SQL注入式攻击研究及防范.pdf
09-19
参数化查询通过使用占位符(而不是直接在SQL语句中拼接用户输入)来传递数据,从而使得用户输入无法作为SQL代码执行。 3. 对数据库账户的权限进行严格的控制,为数据库操作账户赋予最小必需的权限,比如只赋予读取和...
易语言SQL2000登陆源码-易语言
06-13
)是参数占位符。接着,使用预编译的SQL语句执行这个查询,将用户输入的用户名和密码作为参数传入。 执行查询后,如果返回的结果集不为空,说明用户名和密码正确,可以进行登录操作;反之,则提示用户输入错误。...
[数据库][知识]SQL Server、MySQL 和 Oracle 的默认端口和数据库链接
一名不太专业的程序员
08-17 347
请确保在实际使用中,根据您自己的数据库配置(如主机名、端口、数据库名、用户名和密码等)来调整上述连接信息。同时,确保已经添加了相应数据库的 JDBC 驱动到您的项目依赖中。SQL Server、MySQL 和 Oracle 的默认端口号、连接 URL 和驱动类名。请注意,SQL Server 的 JDBC URL 格式可能需要根据实际的数据库实例进行调整,例如,如果数据库实例名称不是默认的。参数用于指定字符集,如果需要其他字符集设置,可能需要调整这些参数。指定了连接的主机和端口,
SQL,将多对多的关联记录按行输出
smilejingwei的博客
08-19 238
要求从两张表中找出符合条件W=100,H=500,D=300的记录,先输出Primay里的一行,再输出相关联的Secondary的每一行。A3:A2为空时返回空,A2不为空时,循环A1的每条记录 ~,合并 ~ 和 A2,最后再合并循环的结果。数据库的Primary表和Secondary表有相同的结构,其中W、H、D是主键。A1、A2:执行简单SQL,条件查询。
SQL关键字检测持续优化,太难了
qq_37148232的博客
08-19 249
【代码】SQL关键字检测优化持续优化,太难了。
查询数据库版本、查询数据字符集sql
qq_39564710的博客
08-18 368
查询数据库版本、查询数据字符集sql
Pandas DataFrame:数据处理利器及其在 Excel 和 SQL 数据处理中的便利性
weixin_43866043的博客
08-19 923
在数据分析和数据科学的世界里,Python 的 pandas 库无疑是最受欢迎的工具之一。而其中的 DataFrame 是一个功能强大、灵活且广泛应用的数据结构。对于那些经常处理 Excel 数据或 SQL 数据库数据的人来说,pandas.DataFrame 提供了无与伦比的便利性和效率。本文将介绍 pandas.DataFrame 的基本概念,并探讨它在处理 Excel 数据和 SQL 数据时所带来的诸多便利之处。什么是 Pandas DataFrame?
SQL - 多表查询
心如冰清,天塌不惊
08-18 483
【代码】SQL - 多表查询。
SQL— DDL语句学习【后端 9】
delepaste的博客
08-15 1614
DDL是SQL中用于定义数据库结构的部分,它允许我们创建、修改或删除数据库对象。在数据库设计阶段,DDL语句是不可或缺的工具。
postgresql 集群文档
最新发布
st780206的专栏
08-22 154
postgresql多主集群。
sql加密所有的存储程式
sinat_28782331的博客
08-20 301
一个可以加密SQL所有程式的存储程式
SQL语句的参数占位符
07-29
SQL语句的参数占位符用于在执行SQL语句时,动态地传递值。常见的参数占位符有以下几种: 1. 问号(?)占位符:在SQL语句中使用问号作为占位符,例如: ``` SELECT * FROM table_name WHERE column_name = ? ``` 在执行时,需要指定具体的参数值。 2. 冒号(:)占位符:在一些数据库系统中,使用冒号作为占位符,例如: ``` SELECT * FROM table_name WHERE column_name = :param_name ``` 在执行时,需要指定具体的参数值,同时参数名字需要以冒号开头。 3. 命名占位符:一些数据库系统支持使用命名占位符,例如: ``` SELECT * FROM table_name WHERE column_name = :param_name ``` 在执行时,需要指定具体的参数值,同时参数名字需要以冒号开头。 不同的数据库系统可能支持不同的参数占位符语法,具体可以参考相应数据库的文档或使用的编程语言的数据库接口文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值