java sql语句防注入_java防sql注入的sql语句拼接工具sqlHandle

最新推荐文章于 2023-11-30 17:37:03 发布
最新推荐文章于 2023-11-30 17:37:03 发布
阅读量419 收藏
点赞数
文章标签: java sql语句防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39589557/article/details/114353649
版权

我在做网站的时候有一个需要在不同的插入时间改变查询的逻辑结构,这个时候用PreparedStatement就不太适合了灵活性太差。所以我就写了一个sql拼接工具。它的原理是将sql语句段与值绑定在一起,然后在最后拼接的时候把值按顺序传人给PreparedStatement。这样我们任意拼接我们的sql语句还可以防止sql注入的困扰。

平时我都是用Hibernate进行操作,但有时我多表查询是Hibernate的灵活性就也受到了限制,所以sqlHandle还是适用不少情况的。

我已经将代码上传到osc代码托管服务了http://git.oschina.net/plug/sqlHandle 欢迎有兴趣的同学可以加入进来来优化一下。

package com.sql.db;

/**

* sql拼接测试代码

* @author 梁前武

* www.apkplug.com

*/

public class test {

/**

* @param args

*/

public static void main(String[] args) {

//1

sqlHandle sql1=new sqlHandle();

sql1.Add("select * from user where " ,"",null).

Add("name=?","", "liling").

Add("age=?","and", 10);

System.out.println(sql1);

//select * from user where name=? and age=?

sql1.AddMore("LIMIT ?,?", "", new Object[]{1,2});

System.out.println(sql1);

//select * from user where name=? and age=? LIMIT ?,?

//2

sqlHandle sql2=new sqlHandle();

sql2.Add("select * from friend where " ,"",null).

Add("myfriend=?","", "liling");

System.out.println(sql2);

// select * from friend where myfriend=?

sql1.AddMoreAndRep(" in(%s) ",sql2, "and", null);

System.out.println(sql1);

//select * from user where name=? and age=? LIMIT ?,? and

//in( select * from friend where myfriend=? )

//很明显sqlHandle添加时的顺序很关键

}

}

weixin_39589557
关注
sql性能优化:MS-SQL跟踪信息查看select * from ::fn_trace_gettable
橙-极纪元-cplvfx-JJY.Cheng
03-21 662
sql性能优化:MS-SQL跟踪信息查看select * from ::fn_trace_gettable
SQL Server跟踪(Trace)--慢查询跟踪跟踪日志
橙-极纪元-cplvfx-JJY.Cheng
03-23 1431
SQL Server跟踪(Trace)--慢查询跟踪跟踪日志
javaSQL注入
11-19
javaSQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发一定注意安全漏洞。
java sql 工具类_JavaSQL注入工具
weixin_42471237的博客
02-16 1740
import javax.servlet.http.HttpServletRequest;/*** SQL注入工具类* 把SQL关键字替换为空字符串* @author zhao* @since 2015.7.23*/public class AntiSqlInjection {public final static String regex = "'|%|--|and|or|not|use|in...
javasql注入sql语句拼接工具sqlHandle
weixin_33978016的博客
11-18 165
2019独角兽企业重金招聘Python工程师标准>>> ...
简单的SQL注入java方法
Mr.薛的博客
11-05 5679
public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 */ public static String sqlInject(String str){ if(StringUtils.isBlank(str)){ return null; ...
Java如何预SQL注入(通俗易懂)
最新发布
sjs52406的博客
11-30 1213
本篇文章主要在于了解SQL注入攻击原理及御策略
SQL_Handle.rar_SQL HANDLE_SQLHANDLE
09-19
SQL(Structured Query Language)的学习过程,`SQL_HANDLE` 和 `SQLHANDLE` 是两个重要的概念,尤其是在处理数据库连接和操作时。尽管它们看起来相似,但它们在实际使用有着不同的含义和用途。 首先,让我们...
C++通过ODBC方式连接数据库SQLServer及增删查改操作示例.7z
06-15
4. **执行SQL语句**:使用`SQLAllocHandle`分配语句句柄,然后调用`SQLPrepare`预编译SQL语句,再调用`SQLExecute`执行。例如,插入数据的SQL语句可能是`INSERT INTO table_name (column1, column2) VALUES (?, ?)`...
sqlserver mysql bigint_sqlserver bigint(20)
weixin_29770269的博客
02-22 824
每个 BIGINT 类型 的数据占用 8 个字节的存储空间。 二、 浮点数据类型 浮点数据类型用于存储十进制小数。浮点数值的数据在 SQL Server 采用上舍入 (Round up......第6章 SQLServer数据类型 章 数据类型 自学章节 6.1 数据类型 1、精确数字类型 、 Bigint Int Smallint Tinyint Bit Decimal 和numeric Mo...
sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
JavaSQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java开发推荐的sql注入方法_Java程序SQL注入攻击
weixin_42466723的博客
01-13 153
I have to add a statement to my java program to update a database table:String insert ="INSERT INTO customer(name,address,email) VALUES('" + name + "','" + addre + "','" + email + "');";I heard that t...
javasql注入 策略_java 最新sql注入原因以及预方案(易理解)
weixin_42648844的博客
02-17 463
前沿在现有的框架sql注入已经做得很好了,我们需要做的就是尽量不要使用sql拼接调用java sql注入原因以及预方案(易理解)1. SQL注入1.1 原理SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库,从而执行恶意的SQL语句。1.2 演示1.2.1 案例1有一个登录框,需要输入用户名和密码,然后我们的密码输入 'or '123' = '123 这样的。我们在查询用户名和...
java sql注入
mengyan_czbank的博客
09-16 177
问题描述: 项目开发遇到的sql注入问题,这里分享一个心得,希望能对您有所帮助; 下面是对于单个字段的sql注入: //这里也可以写成公共方法 //获取被sql注入的字段 String recent = "yes"; //将注入的特殊符替换 recent.replaceAll(".*([';]+|(--)+).*", ""); return ""; 如果我们遇到的是组合条件的查询,这时候分享下面的方法,希望可以帮助到你: 分页查询条件增加Object参数
[SqlHandle] java mysql语法 sql语句拼接工具简类
yoqu的专栏
12-10 3260
SqlHandle sqlhandle =new SqlHandle(SqlHandle.OPERATES[2],table); sqlhandle.OPERATEFILED(field1, value1); # SqlHandle  * mysql语法 sql语句拼接工具简类  * 使用场景:需要快速书写sql语句时用到,主要使用的是mysqlsql语法  * 该版本的select
java--SQL注入攻击
grey_mouse的博客
12-28 422
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
sql拼接Java方法,java程序sql注入的方法
weixin_33429631的博客
03-27 764
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序sql注入应该注意的地方。第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String...
SQL注入Handler命令和堆叠注入
2201_75316477的博客
03-16 689
mysql除可使用select查询表的数据,也可使用handler语句,这条语句使我们能够一行一行的浏览一个表的数据,不过handler语句并不具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准HANDLER语句提供通往表的直接通道的存储引擎接口,可以用于MyISAM和InnoDB表。
如何在C语言文件执行sql语句
06-08
要在C语言文件执行SQL语句,你需要使用数据库连接库和SQL语句执行库,比如ODBC、JDBC、MySQL Connector/C等库。这些库可以通过API或函数来连接数据库、执行SQL语句和获取执行结果。 下面是一个使用ODBC库来执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值