oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法

最新推荐文章于 2024-08-12 21:26:50 发布
最新推荐文章于 2024-08-12 21:26:50 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 数据库,框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spt_dream/article/details/79384122
版权

项目需要出安全扫描报告,但是每次都有40左右高危漏洞

为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。

1、最常见的是sql参数用  ? 英文问号代替  参数直接依次放在jdbc的api后面

注:execute  与update区别是前面的不能加参数,后面的可追加参数

2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map

例子如下

List<String> A00List = Arrays.asList(A00.split(","));
Map<String,Object> paramMap = new HashMap<String,Object>();
paramMap.put("A00List", A00List);

String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “

this.jdbcOperations.update(UpdateRERSql, paramMap);

3、如果jdbc调用的是 executeQuery,用下面的方法

//采用预处理方式,解决executeQuery无法添加参数问题
        PreparedStatement prestmt = connection.prepareStatement(sqliteSql);
        prestmt.setString(1,tblname[i]);
        prestmt.setString(2,puserid);
        ResultSet rSet=prestmt.executeQuery();

4、待解决问题,in中是否可以放置两个键,batchUpdate(批量更新)是否可以传paramMap

欢迎一起讨论




spt_dream
关注
专栏目录
笔记03-JDBC-预编译
qq_53855503的博客
09-05 247
预处理 Statement有sql注入问题,例如:select * from T_users where loginName = ‘"+loginName+"’ and userPwd = ‘’ or ‘1’ = '1’符合条件,这样就不需要判断。 PrepareStatement和Statement 区别 1.PreparedStatement接口是Statement的子接口 2.PrepareStatement 预编译可以防止sql注入问题,保证安全性 3.PrepareStatement对象对于执.
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL
小枯林的博客
04-11 587
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 545
SQL注入SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
Oracle Jdbcsql注入
吃苦胆的野狼
09-21 805
import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; /** * */ /** * @
JDBC基础(6)_JDBC 连接 Oracle 数据库的预编译
魏宇轩
04-14 731
JDBC JDBC 连接数据库的预编译 ● 什么是SQL注入 在需要用户输入的地方,用户输入的是 SQL 语句的片段,最终用户输入的 SQL 片段与我们 DAO 中SQL 语句合成一个完整的 SQL 语句!例如用户在登录时输入的用户名和密码都是为 SQL 语句的片段! ● 演示SQL注入 首先我们需要创建一张用户表,用来存储用户的信息。 按照之前的方法,生成数据库脚本文件以后,在PL...
oracle学习笔记(七) 预编译Statement介绍与使用
weixin_30561177的博客
04-27 163
预编译Statement优点 执行效率高 由于预编译语句使用占位符 ”?”,在执行SQL之前语句会被先发送到Oracle服务器进行语法检查和编译等工作,并将SQL语句加入到Oracle的语句缓冲池里,随后再对SQL语句中的占位符”?”设置定值。 那么也就说如果你要执行1000行插入的时候第一次先SQL语句发送给Oracle服务器处理,接着以后只传递值给占位符就可以了。 因此它不需每次传递大量的S...
OracleJDBC之防sql注入带事务回滚和批量提交Demo
weixin_42240930的博客
01-22 235
OracleJDBC之防sql注入带事务回滚和批量提交Demo 如题,直接上代码: public static void Demo(List&lt;List&gt; list) { Connection conn = null; PreparedStatement pst = null; String driver = "oracle.jdbc.driver.OracleDriv...
适用SQL Server 2016版本的数据库加载驱动包jdbc
03-19
总之,"sqljdbc"驱动包为Java开发者提供了连接SQL Server 2016的桥梁,通过遵循上述步骤,开发者可以轻松地在Java应用中实现对SQL Server 2016的数据存取,从而充分利用SQL Server的强大功能。在实际开发中,还应...
Oracle12C JDBC 驱动
05-22
Oracle12C JDBC驱动还支持高级特性,如分布式事务处理、批量操作、预编译SQL语句、游标、存储过程调用、连接池管理等。此外,通过`oracle.jdbc.pool.OracleDataSource` 类可以实现连接池功能,如使用Oracle的...
oracle.jdbc.driver.oracledriver Oracle JDBC驱动包 ojdbc6
04-10
- **性能优化**:使用`PreparedStatement`代替`Statement`,预编译SQL语句,提高执行效率。同时,合理设置连接池大小和超时时间,避免资源浪费。 - **错误处理**:正确捕获和处理异常,确保应用程序的健壮性。 总之...
Oracle-jdbc-12.2.0.1.zip
11-20
4. **性能优化**:利用批处理、预编译SQL语句(PreparedStatement)和连接池提高性能。 5. **安全**:考虑使用加密连接,避免SQL注入攻击,确保数据传输的安全性。 了解和掌握Oracle JDBC驱动,能够帮助开发者...
JDBCsql注入问题详解
qq_43182594的博客
09-08 147
package com.oracle.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import org.junit.Test; import com.oracle.utils.Utils; publ...
Oracle pragma 举例:exception_init
朱金拖的专栏
11-08 4703
PRAGMA是一个编译指示(或命令)。编译指示在编译时被处理,它们不在运行时执行。编译指示是对编译程序发出的特殊指令。它也称为伪指令(pseudoinstruction),不会改变程序的含义。它只是向编译程序传递信息 ,实际上它是非常类似于嵌在 SQL 语句的注释中的性能调整提示。         EXCEPTION_INIT:将一个特定的错误号与程序中所声明的异常标示符关联起来。
JDBC的学习及SQL注入
一点莹的博客
02-04 213
1.数据库驱动: 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。 应用程序----->Mysql驱动-------->Mysql数据库 2.JDBC的介绍: SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范由Java语言编
javaweb学习笔记之JDBC预编译sql注入问题
qq_47917118的博客
03-27 3462
什么是sql注入 我们一个登录的界面,把密码设为fdsa和1,代码如下 select * from tbl_user where username = 'fdsafds' and password = 'fdsa' or '1'='1'; 当我们输入 用户名:fdsafds 密码:fdsa' or '1'='1 这样可以登录成功,为什么? 以上SQL语句where条件恒成立,会将数据库表当中的数据全部查询出来 以上现象被称为SQL注入,即 当用户提供的信息当中含有SQL语句的关键字,并且这些
oracle预编译,oracle学习笔记(七) 预编译Statement介绍与使用
weixin_34677764的博客
04-08 854
预编译Statement优点执行效率高 由于预编译语句使用占位符 ”?”,在执行SQL之前语句会被先发送到Oracle服务器进行语法检查和编译等工作,并将SQL语句加入到Oracle的语句缓冲池里,随后再对SQL语句中的占位符”?”设置定值。 那么也就说如果你要执行1000行插入的时候第一次先SQL语句发送给Oracle服务器处理,接着以后只传递值给占位符就可以了。 因此它不需每次传递大量的SQL...
ORACLE--预编译与共享池--SGA基本介绍
xieyuooo的专栏
04-08 5834
我们暂时先不说其他的,我们先做一个简单的实验来证明来看出一些问题,最后通过为什么来说明实验的结论,并介绍原理和常规查看方式,好了,我们先看看下面三段代码分别执行的结果。首先为了测试,我们需要创建一张表:CREATE TABLE PRE_TEST_TABLE(   C1  NUMBER,   C2  VARCHAR2(100));好了,我们做一个插入操作的对比:代码段1:BEGI
oracle数据库项目c,Oracle数据库开发(三).ProC的预编译参数
weixin_42134285的博客
04-03 519
一、前言我们上面已经了解Windows和Linux下的ProC开发环境,这里我们更进一步去简要介绍下ProC的预编译参数。二、什么是预编译预编译过程中,Pro*C/C++会自动生成C或者C++的代码,去替代你原来的嵌入SQL,生成的代码包含了一些数据结构,其中声明了数据类型,长度,变量地址以及SQLLIB需要的一些其他信息。生成的代码还包括了执行嵌入SQL操作的一些SQLLIB调用。SQLLIB ...
JDBC | 第三章: SQL预编译与防注入CRUD操作
qq_39449880的博客
02-14 1870
SQL预编译与防注入CRUD操作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值