java sql语句变量_java-使用准备好的语句sql查询和包含的变量...

最新推荐文章于 2023-02-15 15:04:00 发布
最新推荐文章于 2023-02-15 15:04:00 发布
阅读量457 收藏
点赞数
文章标签: java sql语句变量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34036075/article/details/114430655
版权

对.我们不能提供标识符作为绑定参数.列的名称必须是SQL文本的一部分.

我们可以将列名称动态地合并到SQL文本中,如下所示:

sql = "UPDATE diseaseinfo"

+ " SET `" + colname + "` = ?"

+ " WHERE companyname = 'mycom' AND diseaseName = ?";

并为剩余的两个绑定参数提供值

preparedStmt.setString(1, attrData);

preparedStmt.setString(2, medname);

您完全关心SQL注入是正确的.

作为绑定值提供,就SQL注入而言,attrData和medname值中的单引号不会成为问题.

但是,如果我们不能保证将colname包含在语句中,那么我提供的示例很容易通过将colname变量合并到SQL文本中而受到攻击.

因此,我们需要为“安全”名称分配一个值.

我们可以使用几种方法来做到这一点.最安全的是“白名单”方法.该代码可以确保在将colname包含在SQL文本中之前,仅将特定的允许的“安全”值分配给colname.

作为一个简单的例子:

String colname;

if (attributes.equals("someexpectedvalue") {

colname = "columnname_to_be_used";

} else if (attributes.equals("someothervalid") {

colname = "valid_columname";

} else {

// unexpected/unsupported attributes value so

// handle condition or throw an exception

}

一种更灵活的方法是确保反引号字符不会出现在colname中.在示例中,colname的值通过将其括在反引号中进行转义.因此,只要colt中没有出现反引号字符,我们就可以防止将提供的值解释为标识符以外的任何内容.

对于使用硬编码反引号字符的更通用(更复杂)的方法,我们可以考虑使用java.sql.DatabaseMetaData类的supportsQuotedIdentifiers和getIdentifierQuoteString方法.

(在OP代码中,我们没有看到属性内容的数据类型.我们看到了对名为replace的方法的调用,以及为该方法提供的参数.假定属性是一个String,并且应该是列名,我们不清楚为什么我们在字符串中要有“空格单引号空间”,或者为什么我们需要删除它.除此提及外,此答案没有解决这个问题.)

木楠依
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java代码中的sql语句处理.rar_JAVA SQL处理
09-21
资源"java代码中的sql语句处理"可能包含了如何将PL/SQL转换为Java兼容格式的具体示例,包括如何处理复杂的PL/SQL特性,如游标、变量声明、异常处理等。它也可能涵盖了如何使用不同的JDBC API进行转换和执行,以及...
squirrel-sql-2.0final-install.zip_db2_java db2_java sql_squirrel
09-23
2. **db2 java_sql**:这可能意味着该客户端支持通过Java SQL接口来执行SQL语句,提供了一个图形化的界面来操作和查询数据库。 3. **squirrel**:这是SQuirrel SQL的简称,表明讨论的是这个特定的数据库管理工具。 4...
java程序查询绑定变量
cksddfeinwqlse5952的博客
02-09 124
v$sql_bind_capture --bind variablev$sql_bind_datav$sql_bind_metadataCTAScreate table tab_kksfparallel 4 nologging ...
如何提取sql语句绑定变量?
weixin_34235457的博客
04-16 288
2019独角兽企业重金招聘Python工程师标准>>> ...
java获取sql中的查询参数和
weixin_45948019的博客
04-24 2269
public static Map getParamKV(String sql){ sql = sql.toLowerCase(Locale.ROOT); String where = sql.substring(sql.indexOf("where")+5, sql.length()); HashMap<String, String> map = new HashMap<>(); String[] split...
java执行sql语句获取指定返回
web开发自学
06-06 713
当我们插入一条数据的时候,我们很多时候都想立刻获取当前插入的主键返回以做它用。我们通常的做法有如下几种: 1. 先 select max(id) +1 ,然后将+1后的作为主键插入数据库; 2. 使用特定数据库的 auto_increment 特性,在插入数据完成后,使用 select max(id) 获取主键; 3. 对于Oracle,使用 sequence 获取。 对于...
oracle java 绑定变量_在JAVA 源程序中编写SQL语句使用ORACLE 绑定变量
weixin_42123296的博客
02-28 216
JAVA 源程序中编写SQL语句使用ORACLE 绑定变量JAVA 源程序中编写SQL语句使用ORACLE 绑定变量( bind variable)在JAVA中的SQL 语句的编写方面,没有使用ORACLE 绑定变量,很大程度上降低了数据库的性能,表现在两个方面:1、SQL语句硬分析(HardParse)太多,严重消耗CPU资源,延长了SQL语句总的执行时间SQL语句的执行过程分几个步骤:...
sql.rar_SQL语句_hawk_sql优化
09-19
本资源“sql.rar”包含了“SQL语句_hawk_sql优化”主题,由名为“hawk”的专家或社区成员收集并分享,旨在帮助我们了解和提升Oracle SQL语句的优化技巧。 SQL语句优化是数据库性能调优的关键部分,尤其对于大型企业...
PLSQL.rar_Java plsql_pl sql java p_plsql_plsql java
09-24
PL/SQL,全称Procedural Language/Structured Query Language,是Oracle数据库的一种扩展,它将SQL语句与过程式编程语言结合在一起,为数据库管理提供了更强大的功能。在Java开发中,PL/SQL通常用于处理数据库操作,...
pl_sql.zip_fetch_pl/sql_pl_sql_plsql_plsql java
09-23
PL/SQL,全称Procedural Language/Structured Query Language,是Oracle数据库提供的一个结合了SQL语句和过程式编程语言的编程环境。它主要用于管理和控制Oracle数据库,是Oracle数据库开发的核心工具之一。PL/SQL...
java绑定变量优点_Java使用绑定变量的方法其好处
weixin_35744067的博客
02-13 137
没有使用绑定变量使用Oracle数据库的应用系统性能问题主要原因和可伸缩性的主要障碍,Oracle的共享池的操作方法就决定开发人员应该使用绑定变量,如果想要Oracle运行速度减慢,甚至完全中止,就可以拒绝使用绑定变量。在SQL语句中,绑定变量是一个占位符。例如,为了查询员工号为123的员工的信息,可以查询:1)select * from emp where empno=123;另外,也可以查询...
Java SQL语句中插入变量
qq_44544908的博客
03-29 3910
JAVA sql 插入变量
java执行带变量sql
weixin_42231208的博客
05-10 835
放一个执行sql的方法,和一个调用这个方法的代码段进行说明 执行sql的方法:cleancarimage(String id,Connection conn),有2个变量,conn是连接数据库的,id是sql里面用到的 public void cleancarimage(String id,Connection conn){ try { String sql=" delete from car_image where order_id ='"+.
jdbc中SQL语句拼接java变量,format用法
a770115126的博客
02-15 1203
jdbc中SQL语句拼接java变量
Java Sql语句中查询变量
尚未佩妥剑 转眼便江湖
04-07 1720
Sql语句中,查询变量:’"+users+"’,users是变量名: package com.snack.pay; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.util.ArrayList; import java.util.List; i...
jpa repository简介
杂物堆
12-08 2471
有些内置的特殊命名的方法可以直接用:如,find…By/findBy…, read…By, get…By, query…By, search…By, stream…By// 通过UserName去query数据库,并返回UserDO结构的对象 Sort . TypedSort < UserDO > sort = Sort . sort(UserDO . class);
java sql server变量书写,使用Java变量插入SQL Server
weixin_31069599的博客
03-13 325
到目前为止,只有当我在executionUpdate语句中声明时,我才能将数据插入到我的SQL表中.我想知道是否有一种方法可以将这些作为变量传递给我将在执行方法中声明为参数,如下所示:public void updateSQL(String name, String dnsName, String ipV4, String ipV6, int statusCode){try{Class.for...
Spring-Data-JPA自定义Repository实现自定义sql查询
mengqingming1的博客
10-29 5462
Spring Data JPA是Spring Data的一个子项目,它通过提供基于JPA的Repository极大的减少了JPA作为数据访问方案的代码量。 结合Specification(规范)和自定义的Repository实现来定制一个自动模糊查询。即对于任意的实体对象进行查询,对象里面有几个就查几个,当为字符型时自动进行模糊查询,其余的类型使用自动等于查询,没有就查询全部。 (1)定...
postgres 显示变量_postgresql SQL语句变量使用说明
最新发布
06-07
以下是使用 SQL 语句变量的示例: 1. 定义变量: ``` DO $$ DECLARE my_variable INT := 10; BEGIN -- code here END $$; ``` 2. 使用变量: ``` DO $$ DECLARE my_variable INT := 10; BEGIN SELECT * FROM...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值