java查询mysql数据库带参数,针对MySQL数据库过滤SQL查询参数(JAVA兑现)

最新推荐文章于 2022-05-30 16:36:15 发布
最新推荐文章于 2022-05-30 16:36:15 发布
阅读量574 收藏
点赞数
文章标签: java查询mysql数据库带参数

针对MySQL数据库过滤SQL查询参数(JAVA实现)

/**

* 过滤SQL参数,防止特殊字符引发的异常和SQL注入

* 只适用于MySQL数据库

* @author sodarfish

* @since 2008.1.21

* @update 2008.1.24

*/

public class SQLFilter{

public static final int NUMBER_FOR_QUERY=0;

public static final int MYSQL_CHAR_FOR_UPDATE=1;

public static final int MYSQL_CHAR_FOR_NONLIKE_QUERY=2;

public static final int MYSQL_CHAR_FOR_LIKE_QUERY=3;

public static final int MYSQL_P_CHAR_FOR_LIKE_QUERY=4;

/**

* 针对MySQL使用Statement和PreparedStatement进行插入和查询时的参数

* 进行合法化。

* 由于MS SQLServer 默认没有用\做转义符,在处理普通操作时,只需要注意'转为''就可以了.

* 如果用PreparedStatement,那么这一步也可以免掉.

* 如果要查询%符号,那么在MSSQLSERVER中必须使用escape 进行转义,如果使用了escape '\'

* 可以使用该类的MYSQL_P_CHAR_FOR_LIKE_QUERY来指定过滤类型.

* @param sql

* @param paramType

* @return

*/

public static String filtrateSQL(String sql,int paramType){

if(sql==null){

//throw new IllegalArgumentException("参数为空!");

return null;

}

//识别参数是否是数字

if(paramType==SQLFilter.NUMBER_FOR_QUERY){

Pattern pattern = Pattern.compile("(0|[1-9])[0-9]*(\\.[0-9]*)?");

if(pattern.matcher(sql).matches())

return sql;

else

//throw new IllegalArgumentException("非法参数!");

return null;

}

//MySQL处理插入操作.将特殊字符加上转义

if(paramType==SQLFilter.MYSQL_CHAR_FOR_UPDATE){

String newKey=sql.replaceAll("\\\\","\\\\\\\\");//处理\插入

newKey=newKey.replaceAll("'","\\\\'");   //处理'插入防止SQL注入

newKey=newKey.replaceAll("\"","\\\\\"");

return newKey;

}

//MySQL处理非LIKE匹配查询操作.将特殊字符加上转义

if(paramType==SQLFilter.MYSQL_CHAR_FOR_NONLIKE_QUERY){

String newKey=sql.replaceAll("\\\\","\\\\\\\\");//处理\插入

newKey=newKey.replaceAll("'","\\\\'");   //处理'插入防止SQL注入

newKey=newKey.replaceAll("\"","\\\\\"");

return newKey;

}

/**

* 对于MySQL 使用Statement对象进行LIKE模糊匹配的特殊处理.

*

*/

if(paramType==SQLFilter.MYSQL_CHAR_FOR_LIKE_QUERY){

//处理查询特殊字符首先处理\,因为它有转义作用,在MySQL LIKE匹配中,

//会出现两次转义,因此实际查询一个\符号,在SQL语句中的输入应当是\\\\,

//这里由于加上方法中对正则表达式的转义要求和JAVA本身的转义要求,输入16个\

//恰好表示SQL中4个\

//然后处理其他特殊字符,他们在SQL中表示为\% \'等.

String newKey=sql;

newKey=newKey.replaceAll("\\\\","\\\\\\\\\\\\\\\\");

newKey=newKey.replaceAll("'","\\\\'");

newKey=newKey.replaceAll("_","\\\\_");

newKey=newKey.replaceAll("%", "\\\\%");

newKey=newKey.replaceAll("\"","\\\\\"");

return newKey;

}

/**

* 对于MySQL 使用PreparedStatement对象进行LIKE模糊匹配的特殊处理.

* 对MySQL来说,使用PreparedStatement时,只需要特殊处理LIKE匹配问题.

*

* 此方法还适用于MSSQL Server2000中,Like 匹配使用了 escape '\'的语句.

*/

if(paramType==SQLFilter.MYSQL_P_CHAR_FOR_LIKE_QUERY){

//由于MySQL中\为默认转义字符

//处理参数中的特殊字符,\用\\转义成普通的\字符.

String newKey=sql;

newKey=newKey.replaceAll("\\\\","\\\\\\\\");

newKey=newKey.replaceAll("'","\\\\'");

newKey=newKey.replaceAll("_","\\\\_");

newKey=newKey.replaceAll("%", "\\\\%");

newKey=newKey.replaceAll("\"","\\\\\"");

return newKey;

}

return null;

}

600Dreams
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sqlselect.rar_java mysql_java mysql查询_查询数据库
09-21
本文将深入探讨Java连接MySQL数据库并执行SQL查询的相关知识点。 首先,我们要了解的是Java中的JDBC(Java Database Connectivity),这是一个Java API,用于与各种数据库进行交互。使用JDBC,我们可以连接到MySQL...
MySql011——检索数据:过滤数据(使用正则表达式)
最新发布
weixin_45084986的博客
08-12 898
关于正则表达式的介绍大家可以看我的这一篇博客《Java038——正则表达式》,这里就不再累赘。
JAVA防注入-Mysql
Jeromeyoung
11-10 2224
简介 通常在java开发过程中,凡是涉及到数据库数据的操作都会存在sql语句拼接的问题,而拼接的sql语句往往会造成注入漏洞,所以为了防止注入的产生,在开发过程中都应该注意这一点。 正文 在java数据库拼接的过程中,为了防止注入的产生,一般我们会使用PreparedStatement对象来解决这个问题,这里以mysql数据库作为主要对象! PreparedStatement:执行sql的对象: SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 ​ 1、输入用户随
过滤器实现全局防SQL注入
ACGkaka的博客
10-28 4312
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个类: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
java参数过滤sql_用jsqlparser过滤数据集,使用sql 查询的语法
weixin_27541383的博客
02-25 502
复制内容到剪贴板代码:public class WhereExpressionVisitor implements ExpressionVisitor, ParserConstants {private Object result;private RowMeta rowInfo;private Expression expression;private Object[] values;/*** C...
mysql过滤关键字_MySQL检索和过滤数据
weixin_30424427的博客
01-19 650
注意多条SQL语句必须以分号(;)分隔;SQL语句不区分大小写;在处理SQL语句时,其中所有空格都被忽略;当选择多个列是,一定要在列名之间加上逗号,但最后一个列名后不加。SELECT语句检索单个列mysql> SELECT prod_name FROM products;+----------------+| prod_name |+----------------+| .5 to...
SQL过滤JAVA工具类,防止SQL盲注,XSS反射型攻击
生活没有圈的博客
09-02 871
SQL过滤JAVA工具类,防止SQL盲注,XSS反射型攻击 大家都知道,攻击者擅长寻找网站漏洞,如从接口上sql盲注,如果没用后端没用防御,轻则信息泄露,重则删表删库。 这是最近工作需要,做的一个工具类。 package com.invoice.util; import java.util.Date; import java.util.HashMap; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.P
java连接mysql数据库 java连接sql server数据库
01-19
java的应用中,我们经常会对数据库进行必要的操作,下来我们就了解一下如何用java连接mysql数据库 以及java连接sql server数据库 一、mysql import java.sql.Connection; import java.sql.DriverManager; ...
Java连接mysql数据库进行内容查询的方法
01-19
最近用框架做了几个项目,... //数据库连接名称 String username=root; //数据库连接密码 String password=; String driver=com.mysql.jdbc.Driver; //其中test为数据库名称 String url=jdbc:mysql://localhost:
JavaMySQL数据库进行连接、查询和修改操作方法
08-29
主要介绍了JavaMySQL数据库进行连接、查询和修改操作方法,需要的朋友可以参考下
java mysql 参数化_JavaMySQL中like的参数查询
weixin_39564187的博客
01-19 667
mysql使用参数查询,like模糊查询,应如何拼接字符串好奇是学习的源动力:因为在群里潜水看到关注sql注入的讨论,尝试在自己程序的搜索框输入单引号,程序报错,开始尝试修改为参数查询,噩梦开始了。。搬出了毕业时写的DBHelper(很早写的使用参数查询的操作类),替换掉程序中为了方便精简(姑且这么说吧)的DBHelper。开始安装平常的逻辑拼接:sql += " where t.realN...
mysql查询不定参数_【实践记录】Java操作MySQL数据库——不定条件参数查询
weixin_42325867的博客
01-19 386
引入在数据库中,经常要实现查询操作,而且查询条件是不断根据实际情况动态变化的,以简书用户为例。假设一个简书用户有以下参数:用户名、个人简介、关注人数、粉丝人数、文章数、字数、收获喜欢数。如果我们的查询条件是用户名为某个值这一个条件、又或者用户名为某个值和关注人数在某一区间这两个条件。通过Java操作的话,我们不可能每种情况都写一个查询方法,最有效的方法应该是:只写一个方法,让他自己检测参数个数,获...
sql正确,在Java查询查询不到数据
学习笔记
08-15 7181
由上面两张图可以看出,同样的sql语句在Java端执行却得不到结果,出现这个的原因是因为数据库连接时未设置编码,进行如下配置 url: jdbc:mysql://localhost:3306/online_edu?useUnicode=true&characterEncoding=utf-8&serverTimezone=GMT%2B8 ok,结果查询成功! ...
java程序中查不到数据,同样sql语句放数据库中可以查到,解决方案
weixin_46269929的博客
11-11 3607
排查sql 语句中是否含有 汉字,如果存在汉字,可能是因为mysql的字符集有问题,编码方式不支持中文。 找到你的数据库配置文件,修改你的url url=jdbc:mysql://localhost:3306/{tableName}?useUnicode=true&characterEncoding=UTF-8 ...
Sql语句在数据库查询成功,在java项目中无结果
弦断的马丁的博客
05-30 3762
1.确认sql语句拼接的没有问题 在配置文件mybatis-config.xml中进行配置 <settings> <setting name= "mapUnderscoreToCamelCase" value = "true"/> <setting name="logImpl" value="STDOUT_LOGGING" /> </settings> 如图,在控制台中查看最终执行的sql语句 2.
java项目中sql查不到数据 pl/sql能查到数据;项目中和pl/sql查询结果不一致
孟秋与你的博客
03-26 768
题外话,出现这种情况 一般要去问开发经验丰富的前辈,询问和自己水平相差不大的朋友 他们可能会说sql语句写错了之类的。遇到这种情况肯定不能用正常的思维去解决 1.如果pl/sql始终能查到数据,确保oracle数据库连接稳定,排除oracle本身因素。 2. 检查数据源那边有没有封装什么判断(之前知乎看到有前辈说 他那个项目数据源jar是封装的 有一天他反编译看到: if (超过某个时间){...
SQL 在数据库工具中有值 java代码没有值
chengdutianfu的博客
05-30 560
java代码走SQL没有值,但是复制到sql语句到工具中直接查询有值。最后发现是日期格式的问题:数据库是date类型('2018-02-14')的 而我传入的值是'2018-05-30 00:00:00'这种格式查询不到,将传入的值格式化一下DATE_FORMAT(#{validDate15},'%Y-%m-%d'));就搞定了SELECT *  FROM t_get g    WHERE g.V...
同样的sql语句在数据库中能查出结果,但是在java项目中,查不出来
热门推荐
meng_dream_fly的博客
09-19 2万+
1.查看jdbc.properties url链接是否指定了数据编码格式 url = jdbc:mysql://xx.x.xx.xxx:3306?useUnicode=true&characterEncoding=utf8 2.如果jdbc.properties已经设置还是出现该错,则查看数据库连接配置xml文件,在jdbcUrl中也设置数据编码格式
解决:同样的SQL语句,在java程序中查询没有结果,但是在数据库中能查询到数据
五更依旧朝花落的博客
08-04 9749
今天碰到了个问题,就是我的sql语句在数据库查询的结果是空的,但是我吧语句赋值出来。直接去数据库查询确可以查询到数据 如下: ==> Preparing: SELECT top 300 Id, FullName,MethodName,Message FROM [dbo].[TrackLog] WHERE Message like 'http://mobileapi.centanet.com%' and FullName like 'MobileApi.CentaNet.Mobile.Model.Re
java通讯录连接mysql数据库.pdf
05-16
java通讯录连接mysql数据库.pdfjava通讯录连接mysql数据库.pdfjava通讯录连接mysql数据库.pdfjava通讯录连接mysql数据库.pdfjava通讯录连接mysql数据库.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值