java防sql注入的sql语句拼接工具sqlHandle

最新推荐文章于 2024-02-15 10:30:00 发布
最新推荐文章于 2024-02-15 10:30:00 发布
阅读量168 收藏
点赞数
文章标签: java python git
原文链接:https://my.oschina.net/u/138488/blog/177111
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    我在做网站的时候有一个需要在不同的插入时间改变查询的逻辑结构,这个时候用PreparedStatement就不太适合了灵活性太差。所以我就写了一个sql拼接工具。它的原理是将sql语句段与值绑定在一起,然后在最后拼接的时候把值按顺序传人给PreparedStatement。这样我们任意拼接我们的sql语句还可以防止sql注入的困扰。

   平时我都是用Hibernate进行操作,但有时我多表查询是Hibernate的灵活性就也受到了限制,所以sqlHandle还是适用不少情况的。

  我已经将代码上传到osc代码托管服务了http://git.oschina.net/plug/sqlHandle 欢迎有兴趣的同学可以加入进来来优化一下。 

package com.sql.db;
/**
 * sql拼接测试代码
 * @author 梁前武 
 * www.apkplug.com
 */
public class test {

	/**
	 * @param args
	 */
	public static void main(String[] args) {
		 //1
		 sqlHandle sql1=new sqlHandle();
	     sql1.Add("select * from user where " ,"",null).
	     Add("name=?","", "liling").
	     Add("age=?","and", 10);
	     System.out.println(sql1);   
	     //select * from user where    name=?  and age=? 
	     sql1.AddMore("LIMIT ?,?", "", new Object[]{1,2});
	     System.out.println(sql1);
	     //select * from user where    name=?  and age=?   LIMIT ?,? 
	     
	     //2
	     sqlHandle sql2=new sqlHandle();
	     sql2.Add("select * from friend where " ,"",null).
	     Add("myfriend=?","", "liling");
	     System.out.println(sql2);
	     // select * from friend where    myfriend=? 
	     sql1.AddMoreAndRep(" in(%s) ",sql2, "and", null);
	     System.out.println(sql1);
	     //select * from user where    name=?  and age=?   LIMIT ?,?  and  
	     //in(  select * from friend where    myfriend=? )  
	     //很明显sqlHandle添加时的顺序很关键
	     
	}

}

转载于:https://my.oschina.net/u/138488/blog/177111

weixin_33978016
关注
开发sql语句拼接自动格式化工具
04-17
SQL语句格式化工具,可语法加亮显示,可将大段SQL成程序代码,免去手工拼接之苦。也可将代码还原成SQL,便于在数据库IDE中查询调试。操作简单,省去不少拼接的时间,推荐使用。
Java项目SQL注入的方式总结
睡竹的博客
03-02 9665
Java项目SQL注入的方式总结 springboot配置请求过滤器SQL注入 nginxSQL注入 mybatisSQL注入
javaSQL注入
zwjzone的博客
03-10 1281
springboot使用$符号传参,sql注入
java用多线程批次查询(Callable返回数据)方式
liaonanfeng88的CSDN博客
09-17 1963
多线程有好几种方式,今天说的方式比较好,实现Callable<> 这种方式能返回查询的数据,加上Future异步获取方式,查询效率大大加快 package com.ThreadPoolHadel; import com.sqlSource.SqlHadle; import java.util.List; import java.util.concurrent.Callabl...
java解决sql注入完整的工具
sunrj_niu的博客
08-06 2424
【代码】java解决sql注入完整的工具类。
SQL_Handle.rar_SQL HANDLE_SQLHANDLE
09-19
SQL(Structured Query Language)的学习过程中,`SQL_HANDLE` 和 `SQLHANDLE` 是两个重要的概念,尤其是在处理数据库连接和操作时。尽管它们看起来相似,但它们在实际使用中有着不同的含义和用途。 首先,让我们...
C++通过ODBC方式连接数据库SQLServer及增删查改操作示例.7z
06-15
4. **执行SQL语句**:使用`SQLAllocHandle`分配语句句柄,然后调用`SQLPrepare`预编译SQL语句,再调用`SQLExecute`执行。例如,插入数据的SQL语句可能是`INSERT INTO table_name (column1, column2) VALUES (?, ?)`...
C++控制台数据循环写入数据库、自动创建数据库、表、字段
08-18
例如,使用SQL Server Native Client,你可以创建一个`SQLHANDLE`来表示连接,并使用`SQLConnect`函数进行连接。 2. **执行SQL语句**:一旦连接建立,我们就可以执行SQL命令。这里涉及到的命令有创建数据库、创建表...
北邮大三数据库实验四数据库接口实验.docx
06-16
- **SQLExecDirect**:把SQL语句送到数据库服务器,请求执行由SQL语句定义的数据库访问。 - **SQLFetch**:将游标移动到查询结果集的下一行(或第一行)。 - **SQLGetData**:按照游标指向的位置,从查询结果集中...
SQL注入
AgonyAngela的博客
03-30 2079
SQL注入
SQL注入
weixin_44693449的博客
10-28 468
SQL 止SQL注入的五种方法 一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面...
java止xss脚本注入攻击,采用spring工具类方式(Acunetix Web Vulnerability Scanner 10.5测试有效)
辉少的博客
01-24 2688
1. pom添加依赖 &lt;dependency&gt; &lt;groupId&gt;org.apache.tomcat&lt;/groupId&gt; &lt;artifactId&gt;tomcat-servlet-api&lt;/artifactId&gt; &lt;version&gt;8.0.36&lt;/version&gt; &lt;sc
如何Java中的SQL注入
xsharkrasp的博客
05-26 271
SQL注入(也称为SQLi)是指攻击者成功篡改Web应用输入,并在该应用上执行任意SQL查询。此种攻击通常会利用编程语言用来括住字符串的转义字符。攻击者想方设法用表单字段或URL参数向应用注入额外的SQL代码进而获得在目标数据库上执行未经授权的操作的能力。图1:SQL注入原理SQL注入是Web应用最常遭受攻击类型之一;此外,还有许多安全威胁是Java开发人员应该注意的,包括:恶意JarXSS注入Java LDAP注入XPath注入SecurityManager漏洞1、识别第三方漏洞。
java实战:SQL注入常用方法及代码示例
最新发布
oandy0的博客
02-15 1967
本文将介绍几种在JavaSQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以SQL注入攻击。
[实践总结] Java SQL注入的四种方案
张紫娃的博客
08-28 1250
当 id 传值为 1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重。
java如何sql注入
weixin_44965143的博客
02-11 5824
什么是sql注入 SQL注入是比较常见的网络攻击方式之一,在客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 sql注入可能产生的影响 恶意用户可以未经授权访问您的应用程序并窃取数据。 他们可以更改,删除数据库中的数据并关闭您的应用程序。 黑客还可以通过执行数据库特定...
JavaSQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6623
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
java sql xxs注入_【JavaSQL注入问题 解决XSS攻击 (个人梳理)
weixin_35799294的博客
03-06 632
JavaSQL注入问题 解决XSS攻击 (个人梳理)【JavaSQL注入问题 解决XSS攻击 (个人梳理)文章目录前言sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是,SQL 数据库的操作是通过 SQL 语句来执行的,而无论是执行代 码还是数据项都必须写在 SQ...
SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
C语言连接SQL Server 2000的实现方法
在实际应用中,还需要处理其他ODBC API调用,如执行SQL语句、处理结果集、关闭连接等。例如,你可以使用`SQLExecDirect()`或`SQLPrepare()`来执行SQL命令,`SQLFetch()`或`SQLFetchScroll()`来获取查询结果,以及`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值