java sql 拼接工具_java防sql注入的sql语句拼接工具sqlHandle

最新推荐文章于 2021-03-07 05:17:07 发布
最新推荐文章于 2021-03-07 05:17:07 发布
阅读量298 收藏
点赞数
文章标签: java sql 拼接工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28812983/article/details/114721553
版权

1.[代码]sqlHandle

package com.sql.db;

import java.util.ArrayList;

import java.util.Calendar;

import java.util.Date;

import java.util.Iterator;

import java.util.List;

import org.hibernate.SQLQuery;

import org.hibernate.Session;

/**

* sql拼接代码

* 一个完整的sql语句可以有多个sqlHandle拼接而成

* sqlHandle分sql语句 与 sql值,在sql语句中值由?

* 替代在最后运行是值将依此赋值给hibernate

* @author 梁前武

* www.apkplug.com

*/

public class sqlHandle {

public String strSql="%s";

public Object fsql="";

public String type="";

public Object[] v=null;

public List list=null;

public sqlHandle(String strSql,Object fsql,String type,Object[] v){

this.strSql=strSql;

this.fsql=fsql;

this.type=type;

this.v=v;

}

public sqlHandle(Object fsql,String type,Object[] v){

this.fsql=fsql;

this.type=type;

this.v=v;

}

public sqlHandle(){

}

public SQLQuery handle(Session session){

//拼接本sqlHandle sql字符串

String sql=addWhereSql(strSql,fsql,type);

for (int i=0;i

//依此拼接子sqlHandle

sqlHandle sqlHandle = (sqlHandle) list.get(i);

sql+=addWhereSql(sqlHandle.strSql,sqlHandle.fsql,sqlHandle.type);

}

System.out.println(sql);

SQLQuery query=session.createSQLQuery(sql);

//赋值

setV(query,0);

return query;

}

/**

* 将sql中?代替的值依此赋值给hibernate

* @param q

* @param i 传递值索引位置

* @return

*/

public int setV(SQLQuery q,int i){

if(v!=null)

for(int j=0;j

if(v[j]!=null){

//System.out.println("添加参数");

setV(q,i,v[j]);

i++;

}

}

if(fsql!=null&&fsql instanceof sqlHandle)

i=((sqlHandle)fsql).setV(q, i);

if(list!=null)

for (int j=0;j

sqlHandle sqlHandle = (sqlHandle) list.get(j);

i=sqlHandle.setV(q, i);

}

return i;

}

/**

* 将sql中?代替的值依此赋值给hibernate

* @param q

* @param i 值索引位置

* @param v 值

*/

public void setV(SQLQuery q,int i,Object v){

if(v instanceof String){

q.setString(i, (String)v);

}else if(v instanceof Integer){

q.setInteger(i, (Integer)v);

}else if(v instanceof Float){

q.setFloat(i, (Float)v);

}else if(v instanceof Double){

q.setDouble(i, (Double)v);

}else if(v instanceof Date){

q.setDate(i, (Date)v);

}else if(v instanceof java.sql.Date){

q.setDate(i, (Date)v);

}else if(v instanceof Boolean){

q.setBoolean(i, (Boolean)v);

}else if(v instanceof byte[]){

q.setBinary(i, (byte[])v);

}else if(v instanceof Byte){

q.setByte(i, (Byte)v);

}else if(v instanceof Calendar){

q.setCalendar(i, (Calendar)v);

}

}

/**

* 拼接sql字符串

* @param strSql 连接字符串 如 in(%s)

* @param sqlOne 实体字符串 如 select * user 可以是字符串也可以是sqlHandle

* @param type 连接类型 如 and,or

* @return 返回 如 and in(select * user)

*/

private static String addWhereSql(String strSql,Object sqlOne,String type){

return " "+type+" "+String.format(strSql, sqlOne)+" ";

}

/**

* 添加多个sql参数值

* @param fsql sql语句段 如 name=?

* @param type sql连接类型 如 and

* @param v Object[]{"liming"} 如无值便为null

* @return

*/

public sqlHandle AddMore(Object fsql,String type,Object[] v){

if (list==null)

list=new ArrayList();

sqlHandle sql=new sqlHandle(fsql,type,v);

list.add(sql);

return this;

}

/**

* 添加0-1个sql参数

* @param fsql sql语句段 如 name=?

* @param type sql连接类型 如 and

* @param v "liming" 如无值便为null

* @return

*/

public sqlHandle Add(Object fsql,String type,Object v){

AddMore( fsql, type,new Object[]{v});

return this;

}

/**

* 添加多个sql参数值

* 多一共 strSql字符 有时我们需要 in(sql...) 这种情况。

* 我们可以通过设置 strSql=in(%s) fsql=sql... 这种形式来实现

* strSql默认为"%s"

* @param strSql 替代副

* @param fsql

* @param type

* @param v

* @return

*/

public sqlHandle AddMoreAndRep(String strSql,Object fsql,String type,Object[] v){

if (list==null)

list=new ArrayList();

sqlHandle sql=new sqlHandle(strSql,fsql,type,v);

list.add(sql);

return this;

}

/**

* 添加多个sql参数值

* 多一共 strSql字符 有时我们需要 in(sql...) 这种情况。

* 我们可以通过设置 strSql=in(%s) fsql=sql... 这种形式来实现

* strSql默认为"%s"

* @param strSql

* @param fsql

* @param type

* @param v

* @return

*/

public sqlHandle AddAndRep(String strSql,Object fsql,String type,Object v){

AddMoreAndRep(strSql, fsql, type,new Object[]{v});

return this;

}

/**

* 生成自身sql语句

*/

public String toString(){

String sql="";

for (int i=0;i

sqlHandle sqlHandle = (sqlHandle) list.get(i);

sql+=addWhereSql(sqlHandle.strSql,sqlHandle.fsql,sqlHandle.type);

}

return sql;

}

}

合盘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ODBC学习笔记—SQLAllocHandle
不上进的程序员
07-06 6811
SQLAllocHandle 函数定义: 顾名思义,该函数就是用来分配句柄的,句柄类型参考参数详解。 SQLRETURN SQLAllocHandle(      SQLSMALLINT     HandleType,      SQLHANDLE     InputHandle,      SQLHANDLE *     OutputHandlePtr); 参数详解: Handl
VS 2010 C++ 用ODBC方式读取数据库
05-25
SQLRETURN SQLConnect(SQLHANDLE hDbc, SQLCHAR* szDSN, SQLSMALLINT nDSNLen, SQLCHAR* szUID, SQLSMALLINT nUIDLen, SQLCHAR* szAuthStr, SQLSMALLINT nAuthStrLen); SQLRETURN SQLFreeHandle(SQL_HANDLE_ENV, ...
SQL2JAVA-java字段串代码拼接工具
11-12
一款方便将javasql语句互相转换的小工具,在日常工作开发中,非常实用,f方便写字符串拼接的语句,常用选项是String和StringBuffer
Java拼接SQL语句工具
qq_40406380的博客
11-09 2212
1. 使用 Mybatis自带SQL语句构造器拼接 1.1 引入相关maven依赖 <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.5.4</version> </dependency&gt
Sql_Handle and Plan_Handle Explained
我的学习成长日记
06-04 1714
For batches, the SQL handles are hash values based on the SQL text. For database objects such as stored procedures, triggers or functions, the SQL handles are derived from the database ID, object ID,
java拼接sql_java拼接sql工具
weixin_29213525的博客
02-12 1035
public classSqlHandle {privateStringBuffer sql;private List list = new ArrayList();publicSqlHandle() {}publicSqlHandle(String sql) {this.sql = newStringBuffer(sql);}public staticSqlHandle getInstance(...
SQL_Handle.rar_SQL HANDLE_SQLHANDLE
09-19
SQL(Structured Query Language)的学习过程中,`SQL_HANDLE` 和 `SQLHANDLE` 是两个重要的概念,尤其是在处理数据库连接和操作时。尽管它们看起来相似,但它们在实际使用中有着不同的含义和用途。 首先,让我们...
C++通过ODBC方式连接数据库SQLServer及增删查改操作示例.7z
最新发布
06-15
4. **执行SQL语句**:使用`SQLAllocHandle`分配语句句柄,然后调用`SQLPrepare`预编译SQL语句,再调用`SQLExecute`执行。例如,插入数据的SQL语句可能是`INSERT INTO table_name (column1, column2) VALUES (?, ?)`...
北邮大三数据库实验四数据库接口实验.docx
06-16
- **SQLExecDirect**:把SQL语句送到数据库服务器,请求执行由SQL语句定义的数据库访问。 - **SQLFetch**:将游标移动到查询结果集的下一行(或第一行)。 - **SQLGetData**:按照游标指向的位置,从查询结果集中...
java 动态拼接sql_动态SQL拼接工具
weixin_34190533的博客
03-07 591
动态SQL拼接处理工具类,为了传动态参数sql语句拼接的灵活使用。具体源代码见:下面简单介绍下使用Demo:publicstaticvoidmain(String[]args)throwsIOException{DynamicSQLdsql=newDynamicSQL();dsql.append("SELECTs.dept_name,s.id,s.name,t.yea...
sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
JDBC中动态拼接SQL工具
03-31
JDBC中动态拼接SQL工具类。 对于使用纯SQL访问数据库的同学会有些帮助。 并具有一定的扩展性。
SQL语句拼接工具,简化SQL语句拼写代码
04-15
针对不确定的查询参数,简化SQL语句的拼写代码。目前支持Oracl及MySql数据库
SQL注入源码+SQL注入命令
07-16
Java做的一个SQL注入实验,开发工具mysql数据库,创建表users,字段id,name,paswd;工具myeclipse+tomcat;是一个简单的程序
根据SQL_ID找出 SQL_HANDLE
关光磊的博客
02-21 1182
Map SQL_HANDLE to SQL_ID: 1.根据SQL_HANDLE找出 SQL_ID SELECT * FROM (SELECT t.SQL_HANDLE, t.SIGNATURE, t.SQL_TEXT, s.SQL_ID FROM SYS.SQL$TEXT t, DBA_HIST_SQLSTAT s WHERE t.SQL_HANDLE...
JAVA SQL拼接助手
system1024的专栏
12-15 874
public class SqlHelper { protected String _select = "SELECT * "; protected String _selectCount = "SELECT COUNT(1) num"; protected String _from = ""; protected String _join = ""; protected ArrayL
[SqlHandle] java mysql语法 sql语句拼接工具简类
yoqu的专栏
12-10 3256
SqlHandle sqlhandle =new SqlHandle(SqlHandle.OPERATES[2],table); sqlhandle.OPERATEFILED(field1, value1); # SqlHandle  * mysql语法 sql语句拼接工具简类  * 使用场景:需要快速书写sql语句时用到,主要使用的是mysql中的sql语法  * 该版本的select
sql_handle and plan_handle (读书笔记)
weixin_33749131的博客
08-03 196
The sys.dm_exec_cached_plan dmv contains a column called a plan_handle for every compiled plan. The plan_handle is a hashed value that derives from compiled plan of entire batch, and it is guaranteed ...
SQL 拼接语句输出_以Java的视角来聊聊SQL注入
weixin_39984105的博客
11-16 237
作者:忆蓉之心来源:微信公众号 「Java面试那些事儿」Web往往是Hacker入侵企业内网的第一步,而其中SQL注入是web入侵最为常用的手段...在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来越重,在工作中接触Java的机会也越来越多,也是机缘...
如何在C语言文件中执行sql语句
06-08
要在C语言文件中执行SQL语句,你需要使用数据库连接库和SQL语句执行库,比如ODBC、JDBC、MySQL Connector/C等库。这些库可以通过API或函数来连接数据库、执行SQL语句和获取执行结果。 下面是一个使用ODBC库来执行SQL查询语句的示例代码: ``` #include <stdio.h> #include <stdlib.h> #include <sql.h> #include <sqlext.h> void show_error(unsigned int handle_type, const SQLHANDLE& handle) { SQLCHAR sqlstate[1024]; SQLCHAR message[1024]; if (SQL_SUCCESS == SQLGetDiagRec(handle_type, handle, 1, sqlstate, NULL, message, 1024, NULL)) { printf("Message: %s\n", message); printf("SQLSTATE: %s\n", sqlstate); } } int main() { SQLHENV env; SQLHDBC dbc; SQLHSTMT stmt; SQLRETURN ret; /* ODBC API return status */ /* Allocate an environment handle */ SQLAllocHandle(SQL_HANDLE_ENV, SQL_NULL_HANDLE, &env); /* We want ODBC 3 support */ SQLSetEnvAttr(env, SQL_ATTR_ODBC_VERSION, (void*)SQL_OV_ODBC3, 0); /* Allocate a connection handle */ SQLAllocHandle(SQL_HANDLE_DBC, env, &dbc); /* Connect to the DSN */ ret = SQLDriverConnect(dbc, NULL, (SQLCHAR*)"DSN=mydsn;", SQL_NTS, NULL, 0, NULL, SQL_DRIVER_COMPLETE); if (SQL_SUCCESS != ret) { show_error(SQL_HANDLE_DBC, dbc); return EXIT_FAILURE; } /* Allocate a statement handle */ SQLAllocHandle(SQL_HANDLE_STMT, dbc, &stmt); /* Execute the query */ ret = SQLExecDirect(stmt, (SQLCHAR*)"SELECT * FROM mytable", SQL_NTS); if (SQL_SUCCESS != ret) { show_error(SQL_HANDLE_STMT, stmt); return EXIT_FAILURE; } /* Fetch and display the result set */ while (SQLFetch(stmt) == SQL_SUCCESS) { SQLINTEGER id; SQLCHAR name[256]; SQLGetData(stmt, 1, SQL_C_SLONG, &id, 0, NULL); SQLGetData(stmt, 2, SQL_C_CHAR, name, 256, NULL); printf("%d %s\n", id, name); } /* Free up the handles */ SQLFreeHandle(SQL_HANDLE_STMT, stmt); SQLDisconnect(dbc); SQLFreeHandle(SQL_HANDLE_DBC, dbc); SQLFreeHandle(SQL_HANDLE_ENV, env); return EXIT_SUCCESS; } ``` 这个示例代码使用ODBC库连接数据库,并执行一个简单的SELECT查询语句,然后获取查询结果并输出。在执行SQL语句之前,需要先连接到数据库,并分配环境句柄、连接句柄和语句句柄。然后,使用SQLExecDirect函数执行SQL语句,再使用SQLGetData函数获取结果。最后,释放句柄并关闭连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值