java delegate怎么写_Java开发的菜鸟们,快来看一下你的sql拼接是怎么写的

最新推荐文章于 2022-02-14 10:26:43 发布
最新推荐文章于 2022-02-14 10:26:43 发布
阅读量84 收藏
点赞数
文章标签: java delegate怎么写 java单元测试怎么写 java开发文档怎么写 java开方怎么写 java开根号怎么写 java输入语句怎么写
68fe5b98a202c9b9c1e5f8300f7792b4.png

我们看下面几行简单的代码

String sql = "select * from user where id=" + id;

一行中,id进行了直接的拼接,那么id这个参数会通过用户来传递进来,这样很容易照成sql注入,从而被黑客利用进行脱裤。

@RequestMapping("/SqlInjection/{id}")  public ModelAndView SqlInjectTest(@PathVariable String id){   String mysqldriver = "com.mysql.jdbc.Driver";   String mysqlurl = "jdbc:mysql://127.0.0.1:3306/test?user=root&password=123456&useUnicode=true&characterEn coding=utf8&autoReconnect=true";   String sql = "select * from user where id=" + id;   ModelAndView mav = new ModelAndView("test2");   try{    Class.forName(mysqldriver);    Connection conn = DriverManager.getConnection(mysqlurl);    PreparedStatement pstt = conn.prepareStatement(sql); ResultSet rs = pstt.executeQuery();

修复:

如何规避着类问题呢,最直接也是最根本的方法就是采用预处理的方法,如下代码:

@RequestMapping("/SqlInjection/{id}")  public ModelAndView SqlInjectTest(@PathVariable String id){   String mysqldriver = "com.mysql.jdbc.Driver";   String mysqlurl = "jdbc:mysql://127.0.0.1:3306/test?user=root&password=123456&useUnicode=true&characterEn coding=utf8&autoReconnect=true";   String sql = "select * from user where id= ?";   ModelAndView mav = new ModelAndView("test2");   try{    Class.forName(mysqldriver);    Connection conn = DriverManager.getConnection(mysqlurl);    PreparedStatement pstt = conn.prepareStatement(sql);

这样id参数值就被问号进行了占位,那么在传递进来的参数都只会被当作字符串来执行,而不会被当成sql语句中的逻辑词来执行。

总结:

毫无疑问,着类比较低级的错误往往是发生在java开发的菜鸟或者新手身上,那些有着多年开发的老鸟们闭着眼睛都不会这么写。所有刚入门的java开发小白们,一定在学习开发过程中涉及点安全知识,不然你写出来的代码简直是写的漏洞啊。

weixin_39806603
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java delegate模式_javadelegate实现
weixin_39936403的博客
02-13 966
一贯用c#用习惯了,这下回来用java编码,少了委托,还有丢丢不习惯.于是尝试在java中来实现一个.也应该不完全算委托,主要是为了完成类似的事情.c#中的委托:class A:// 定义一个委托的样式public delegate void ADelegate(paramList);// 实例一个委托public ADelegate OnSomethingHappend;// 当事件发生的时候 ...
java中的委托(delegate)编程浅解
热门推荐
ibukikonoha的博客
06-14 1万+
委托是一种重要的编程方式。与继承相对,是可复用编程的重要方法。委托指的是在A类中以各种方式利用B类,完成类的功能。委托的类型:1.A use BB类对象在A类中出现,但是是以局部变量或是方法参数的形式出现的。A类中并没有B类的对象作为域。一般称这种delegation为临时性的delegation。2.A has BB类对象在A类中出现,B类的对象是A类的域之一。B类对象通过A类对象的constr...
JAVA 委派模式(Delegate)
mayaofr的专栏
08-01 1万+
委派模式(Delegate)是面向对象设计模式中常用的一种模式。这种模式的原理为类B和类A是两个互相没有任何关系的类,B具有和A一模一样的方法和属性;并且调用B中的方法,属性就是调用A中同名的方法和属性。B好像就是一个受A授权委托的中介。第三方的代码不需要知道A的存在,也不需要和A发生直接的联系,通过B就可以直接使用A的功能,这样既能够使用到A的各种公能,又能够很好的将A保护起来了。一举两得,岂不
java中设计模式-delegate(代理)
前人挖坑,后人种(pen)
12-27 1万+
http://yangguangfu.iteye.com/blog/815787---这个是很好的参考 关于代理的一个例子:开会--老板--秘书小明/开会--CEO--秘书小明,小明可以代替老板和CEO开会,小明就是那个代理 1.开会的职能接口(类名起的有问题): /* * 抽象对象--可以开会的人 * */ public interface MiShu { public v
java 8 delegate_Java8之函数接口
weixin_35547906的博客
03-04 221
以方法作为参数传递时,Ruby有proc,C#有Delegate,而JavaScript则更不用说,唯独Java在这方面很尴尬。但Java8提供了Lambda表达式和函数接口,这无疑是Javer的福音,也使得Java这门语言更佳的优秀和易用。需求C团队是一个敏捷开发团队,它们的产品每天都会进行几十次的小版本发布,如此频繁的持续集成必须有良好的代码作为保证。为此,PM在CI中的构建任务中设定了“门槛...
ejb.rar_ejb_java bmp
09-21
在这个名为“ejb.rar_ejb_java bmp”的压缩包中,我们关注的是一个基于BMP(Business Delegate Pattern,业务代理模式)的EJB实例。在Java EE开发中,BMP模式允许直接访问数据库,提供了更直接的数据控制,但同时也...
looks-1_2_2.zip_Looks_java looks and feel_looks 2
09-23
总的来说,`Looks_2`(如`looks-1.2.2`)是Java GUI开发中一个用于改变和定制用户界面视觉效果的工具包,通过`LookAndFeel` API,开发者可以创建出符合品牌风格或者提高用户交互体验的应用程序。同时,`...
DragRowTableUI.rar_Java编程_Java_
08-11
Java编程领域,拖拽功能是一项常见的用户界面(UI)交互设计,特别是在表格展示大量数据时,用户可能需要重新排序或调整行的位置。标题“DragRowTableUI.rar”表明这是一个关于实现行拖拽功能的Java UI组件,可能...
基于java开发源码-UI皮肤 Quaqua.zip
01-09
Quaqua是一款为Java Swing应用程序设计的用户界面(UI)皮肤库,它提供了丰富的外观和感觉,让Swing应用看起来更加美观和现代化。基于Java开发源码Quaqua.zip包含的是Quaqua库的源代码,对于Java开发者来说,这是...
4877425.rar_文件操作_Java_
08-10
标题 "4877425.rar_文件操作_Java_" 暗示了这个压缩包包含的内容主要与Java编程语言中的文件操作有关。描述提到"非常适合有一定JAVA基础的朋友学习",这表明这些资料可能涉及进阶或特定的Java文件处理技术,适合已经...
页面传入多个条件——sql语句拼接
11-11
页面传进来传个条件判断的时候,要用到sql语句拼接才能解决sql的问题,这是一个小例子。
Flowable入门系列文章5 - JavaDelegate和历史数据
分享牛
09-25 4577
flowable入门、flowable现状、flowable开源产品、flwoable入门系列、flowable课程、flowable与activiti区别 Flowable是用Java的轻量级业务流程引擎。Flowable流程引擎允许您部署BPMN 2.0流程定义(用于定义流程的行业XML标准),创建 流程定义的流程实例,运行查询,访问活动或历史流程实例以及相关数据等等。本节将逐步介绍各种概念和API,通过您可以在自己的开发 机器上进行的实例进行实现。
禁止在代码中进行SQL拼接操作
hzp666的博客
02-14 1200
1.字符串操作更容易出错。 2.sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3.效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句错误的.如果使用类库提供的方法来设置参数,可以在编译时就设定参数的类型. 5. 倘若之后要修改sql语句,比如where条件里要多...
后端代码在拼接SQL语句千万需要注意
糊糊和南风的博客
08-17 661
防止sql注入:防止黑客利用这个方法获取企业重要数据! 解决办法:用String.Format()函数以参数形式拼接 String sql = String.Format("SELECT * FROM A WHERE A_DJBH = '{0}'",a_djbh); SQL Injection攻击 可以将恶意代码插入到要传递给关系型数据库管理系统的用来分析和执行的字符串中。任何构成SQL语句的过程都应进行注入漏洞检查,因为DBMS将执行其接收到的所有语法有效的查询。 DB:是指datebase(数据库)
SQL语句规避拼接风险的转换方式
New4eva的博客
12-08 353
SQL语句规避拼接风险的转换方式 List<Example> ExampleList= null; try { String sql =" select * from demo where status!=-1"; if (StringUtils.isNotEmpty(example)) { sql+=" and example='"+example+"'"; } Exa
防止sql拼接Java方法_JAVA程序防止SQL注入的方法
weixin_30563489的博客
02-26 943
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:Java代码 String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setStri...
代码里使用字符串操作来拼接sql语句的坏处
jihuanliang的专栏
01-16 1万+
1. 字符串操作更容易出错。 2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句
java专家之路(四)——Web安全之——SQL注入风险
softwareCraftsman
07-09 2996
简介: https://www.owasp.org/index.php/SQL_Injection SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击...
java delegate
最新发布
02-29
Java中,委托(Delegate)是一种设计模式,它允许一个对象将某个任务委托给其他对象来完成。委托模式通过定义一个接口来描述任务,然后在另一个类中实现该接口并完成具体的任务。 在Java中,委托可以通过接口和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值