【spring】jdbcTemplate之sql参数注入

最新推荐文章于 2024-01-19 15:50:02 发布
VIP文章 最新推荐文章于 2024-01-19 15:50:02 发布
阅读量602 收藏
点赞数
文章标签: java 数据库 json
原文链接:http://www.cnblogs.com/VergiLyn/p/6161081.html
版权
demo
 
 
 
 
 
  
 
  
 
  
 
 
 
 
一、数组形式的参数
 
 
  优点: 针对简单sql,可以节约部分内存空间。减少代码量、易读。
 
 
  缺点:
 
 
    1、相同的参数不可以复用,让array占用更多的空间。(当然,以现在的硬件来说,这点空间/内存、多余添加数组值花费的时间 完全微不足道)
 
 
    2、如果是in的参数,要动态拼接(?)占位符。(个人认为最麻烦、繁琐的,扩展:oracle对in最大支持1000)
 
 
    3、如果sql中参数过多,其实不好阅读修改。
 
 
 
  
 
 
 
 
个人习惯用List添加参数,然后再把List转换成Array。
 
 
好处是:如果用数组,当sql存在动态条件,那么无法确定数组长度。而用List就不需要自己去维护。
 
 
 
 
 
二、map形式的参数
 
 
  优点:
 
 
    1、解决了in参数的问题。
 
 
    2、参数值可以复用。
 
 
 
  
 
 
 
 
可以看出对in的参数形式支持很友好,查询条件也可以复用。但我遇到一个问题是:参数是in,在map不能用数组形式,用List是可以的。
 
 
特别:NamedParameterJdbcTemplate与jdbcTemplate没有任何的继承/实现关系(Named可以通过DataSource、JdbcTemplate来生成)。所以再写公共的父类dao时,要想一下怎么写。
 
 
三、javaBean形式的参数
 
 
 
  
 
 
 
 
简单浏览了下源码,感觉就是利用反射找到属性名。然后处理和map形式的一样。
 
 
此形式相对map来说,只在于是用Map还是JavaBean。
 
 
表面上的区别就是:如果参数是通过JavaBean传到dao层,那么不用把bean转换成map。相对的如果是通过map传到dao层的,也用map形式也无需转换成javaBean。
 
 
四、什么是防止sql注入?(个人很简单的理解)
 
 
假设sql: select * from child c where c.id = ? ;
 
 
如果在dao层为了贪图方便,或者没有防止sql注入的概念(就是安全性问题)。在dao层的代码:
 
 
  String sql = "select * from child c where c.id='"+id+"'"; 
 
 
假设期望的id都是1,2,3等自增的数字字符串。
 
 
但是,此sql最后可能是任何形式。比如恶意攻击时,最终sql: select * from child c where c.id='100';delete from child; --'
 
 
红色下划线部分就是id的值(--在sql



                

        

        




    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  weixin_30741653
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
SpringJDBCTemplate

				
			

			

				

					10-22
				

			

		

		

			
				
当hql等查询方式不能满足性能或灵活性的要求,必须使用SQL时,大家有三种选择:

第一、使用Hibernate 的sql 查询函数,将查询结果对象转为Entity对象。

第二、使用Hibernate Session的getConnection 获得JDBC Connection,然后进行纯JDBC API操作;

第三、选择把SpringJDBCTemplate作为一种很不错的JDBC Utils来使用。

     JDBCTemplate的使用很简单,只要在ApplicationContext文件里定义一个jdbcTemplate节点,POJO获得注入后可以直接执行操作,不需要继承什么基类

			
		

	



                

              
                



	

		

			

				
					
使用JdbcTemplate解决SQL注入问题

				
			

			

				

					m0_74582314的博客
				

				

					04-22
					
					1233
					
				

			

		

		

			
				
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。

			
		

	



                


  
              

                


	

		

			

				
					
JdbcTemplate防止sql注入攻击的源码解析

				
			

			

				

					阿呆的专栏
				

				

					09-04
					
					9730
					
				

			

		

		

			
				
概述
使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。
会发生sql注入的查询
query(String sql, RowMapper<T> rowMapper)
源码解析
	@Override
	public <T> List<T> q...

			
		

	





	

		

			

				
					
java安全(二):JDBC|sql注入|预编译

				
			

			

				

					weixin_45694388的博客
				

				

					11-14
					
					6079
					
				

			

		

		

			
				
1 JDBC基础
JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。
2 JDBCConnection
2.1连接
Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive

			
		

	



		

			
		



	

		

			

				
					
Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法

				
			

			

				

					老徐的博客只有干货
				

				

					03-15
					
					2920
					
				

			

		

		

			
				
SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。

			
		

	





	

		

			

				
					
Spring JdbcTemplate 调用 Oracle 存储过程 与  Oracle 驱动下载

				
			

			

				

					12-14
				

			

		

		

			
				
1、关于 JdbcTemplate 的介绍、pom 依赖、DI 注入可以参考《Spring JdbcTemplate 模板剖析 之 常用 增删改查》,本文继续介绍 JdbcTemplate 调用数据库的存储过程,虽然 Mysql 也有存储过程,但是为了尽可能的多覆盖...

			
		

	





	

		

			

				
					
springmvc-jdbcTemplate

				
			

			

				

					12-03
				

			

		

		

			
				
import org.springframework.jdbc.core.JdbcTemplate; import org.springframework.jdbc.core.namedparam.NamedParameterJdbcTemplate;  import com.flong.commons.lang.exception.DaoAccessException; import ...

			
		

	





	

		

			

				
					
Spring Boot中文文档.rar

				
			

			

				

					12-06
				

			

		

		

			
				
 Spring Beans和依赖注入   18.使用@SpringBootApplication Annotation   19.运行您的应用程序     19.1.从IDE运行   19.2.作为打包应用程序运行   19.3.使用Maven插件   19.4.使用Gradle插件   19.5.热插拔     20....

			
		

	





	

		

			

				
					
Spring中文帮助文档

				
			

			

				

					08-05
				

			

		

		

			
				
6.8.1. 在Spring中使用AspectJ进行domain object的依赖注入  6.8.2. Spring中其他的AspectJ切面  6.8.3. 使用Spring IoC来配置AspectJ的切面  6.8.4. 在Spring应用中使用AspectJ加载时织入(LTW)  6.9. 更多资源  7...

			
		

	





	

		

			

				
					
JDBC-防止SQL注入

				
			

			

				

					m0_63144452的博客
				

				

					10-25
					
					929
					
				

			

		

		

			
				
1、什么是sql注入。----->sql拼接安全问题。

由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响

而Statement存在sql注入的问题:因为他的sql字符串拼接。

2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。

PreparedStatement利用预编译的机制将sql语句的主干

			
		

	





	

		

			

				
					
项目开发中安全问题及解决方案------sql注入

					
最新发布

				
			

			

				

					adru的博客
				

				

					01-19
					
					441
					
				

			

		

		

			
				
所谓盲注,指的是注入后并不能从服务器得到任何执行结果(甚至是错误信息),只能寄希望服务器对于 SQL 中的真假条件表现出不同的状态。也就是说,通过在真假条件中加入 SLEEP,来实现通过判断接口的响应时间,知道条件的结果是真还是假。基于时间的盲注原理就是,虽然 不能直接查询出 password 字段的值,但可以按字符逐一来查,判断第一个字符是否是 a、是否是 b……在代码中,我们可以引入p6spy工具打印出所有执行的 SQL,观察 sqlmap 构造的一些 SQL,来分析 其中原理。

			
		

	





	

		

			

				
					
JdbcTemplate注入的几种方式

				
			

			

				

					爱笑才不是傻帽的博客
				

				

					07-18
					
					2661
					
				

			

		

		

			
				
使用数组


public void deleteItemByName(String name) {

Object[] obj = new Object[] { name};

String sql = "DELETE FROM t_item WHERE name = ? ";

jdbcTemplate.update(sq...

			
		

	





	

		

			

				
					
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)

				
			

			

				

					a342874650的专栏
				

				

					12-29
					
					2458
					
				

			

		

		

			
				
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。

			
		

	





	

		

			

				
					
JDBC的复习(三):Sql注入问题和解决

				
			

			

				

					BKSW.的博客
				

				

					03-01
					
					349
					
				

			

		

		

			
				
JDBC的复习(三):Sql注入问题和解决
Sql注入问题

用户名:
dasa
密码:
dasa' or '1' = '1
登陆成功!

根本原因:
用户输入的信息中含有sql语句的关键字,并且这些关键字参与了sql语句的编译过程,导致原来的sql语句意思被扭曲,进而达到sql注入。

解决Sql注入

只要用户提供的信息不参与SQl的编译过程,就可以解决该问题
即使用户输入的语句中含有SQL语句的关键字,到那时没有参与编译,不起作用。
使用PrePareStatement进行sql语句框架的预编译。



			
		

	





	

		

			

				
					
JDBC-SQL注入攻击问题及解决方案

				
			

			

				

					Fly_Fly_Zhang的博客
				

				

					07-07
					
					761
					
				

			

		

		

			
				
什么是SQL注入:
由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。
SQL注入攻击演示:
首先我们创建一张用户表,里面包含用户名和密码。
mysql> select * from user;
+----------+----------+
...

			
		

	





	

		

			

				
					
JDBC技术详解(二)--sql注入攻击问题

				
			

			

				

					Vinson.Hu
				

				

					10-27
					
					760
					
				

			

		

		

			
				
在上篇文章中
《
JDBC技术详解(一)--入门及其API
》,提到的使用statement对象执行字符串拼接的sql会存在注入攻击漏洞。这篇文章,我们来解决这个问题。

			
		

	





	

		

			

				
					
java springboot sql注入的6种方式

				
			

			

				

					qq_34874784的博客
				

				

					08-24
					
					3687
					
				

			

		

		

			
				
4. 使用ORM框架中提供的查询构造器(Query Builder):ORM框架通常提供查询构造器或查询构造API,这些API可以帮助我们构建数据库查询语句,而无需手动编写SQL语句。1. 参数绑定:通过使用参数绑定,将用户输入的数据作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。6. 使用安全的编码方式:在将用户输入插入到SQL语句中时,确保使用合适的编码方式进行转义,例如使用转义函数或参数化查询。5. 输入验证和过滤:对于用户输入的数据,应该进行验证和过滤,确保其符合预期的格式和类型。

			
		

	





	

		

			

				
					
Java如何使用Spring JdbcTemplate向in语句中传递参数

				
			

			

				

					夏日清风
				

				

					02-02
					
					4040
					
				

			

		

		

			
				
Java如何使用Spring JdbcTemplate和NamedParameterJdbcTemplate向in语句中传递参数

			
		

	





	

		

			

				
					
spring jdbctemplate sql server2008 分页

				
			

			

				

					09-05
				

			

		

		

			
				
Spring中使用JdbcTemplate进行SQL Server2008的分页查询是非常简单的。

首先,我们需要确保已经配置了适当的数据源,并且已经将JdbcTemplate注入到我们的代码中。

然后,我们可以使用JdbcTemplate的`query`方法来执行带有分页功能的SQL查询。具体来说,我们可以通过传递一个`PreparedStatementCreator`对象来执行SQL查询,并使用`ResultSetExtractor`来处理返回的结果集。在这里,我们可以使用SQL Server的`ROW_NUMBER()`函数来获取每行的行号。

下面是一个示例代码片段,展示了如何使用JdbcTemplate进行分页查询:

```java
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.jdbc.core.PreparedStatementCreator;
import org.springframework.jdbc.core.ResultSetExtractor;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.sql.ResultSet;

public class PaginationExample {
    private JdbcTemplate jdbcTemplate;

    public List<User> getUsersByPage(int pageNumber, int pageSize) {
        int offset = (pageNumber - 1) * pageSize;

        String sql = "SELECT ROW_NUMBER() OVER (ORDER BY ID) AS RowNum, * FROM Users";
        sql += "WHERE RowNum BETWEEN " + offset + " AND " + (offset + pageSize);

        return jdbcTemplate.query(new PreparedStatementCreator() {
            @Override
            public PreparedStatement createPreparedStatement(Connection connection) throws SQLException {
                return connection.prepareStatement(sql);
            }
        }, new ResultSetExtractor<List<User>>() {
            @Override
            public List<User> extractData(ResultSet rs) throws SQLException {
                List<User> userList = new ArrayList<>();
                while (rs.next()) {
                    // 从结果集中提取数据并添加到userList中
                    userList.add(new User(rs.getInt("ID"), rs.getString("Name"), rs.getString("Email")));
                }
                return userList;
            }
        });
    }
}
```

在上面的示例中,我们可以看到`getUsersByPage`方法接收分页的页号和页面大小作为参数。它首先计算偏移量(即从结果集中的哪个行开始返回),然后构建了一条使用`ROW_NUMBER()`函数进行行号分配和过滤的SQL查询。最后,我们使用JdbcTemplate执行该查询,并将结果集转化为一个列表返回。

这就是使用JdbcTemplateSpring中进行SQL Server2008分页查询的基本步骤。希望这可以帮助到你。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值