java避免使用orderby,使用Order By的准备好的语句来防止SQL注入Java

最新推荐文章于 2023-12-30 00:21:47 发布
最新推荐文章于 2023-12-30 00:21:47 发布
阅读量505 收藏
点赞数
文章标签: java避免使用orderby

I have a query with where conditions , order by and limit. I am using prepared statements to set the where conditions and limit. Currently i am using string append for order by which causing SQL injection vulnerability.

I cannot use set string to order by like this order by ? ? SQL Order functionality not working if i do like this.

Example query:

SELECT siteid, technology, address, state, status FROM archive LEFT OUTER

JOIN mappings ON siteid = child_site_id order by siteid asc limit ? offset ?

SELECT siteid, technology, address, state, status FROM archive LEFT OUTER

JOIN mappings ON siteid = child_site_id order by siteid asc limit 10 offset 0

Any other way i can do this to avoid SQL injection.

解决方案

Do something like this and concatenate it:

List allowedSortableColumns = Arrays.asList(new String[]{"siteid", "technology", "address"})

if(! allowedSortableColumns.contains(sortByColumn)){

throw new RuntimeException("Cannot sort by: " + sortByColumn);

}

// Continue here and it's safe to concatenate sortByColumn...

You can do sanitization and other stuff, but this should work in your case

采油工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL Server2008 Order by在union子句不可直接使用的原因详解
09-08
总的来说,SQL Server 2008 不允许在 `UNION` 子句中直接使用 `ORDER BY` 是为了保证 `UNION` 操作的逻辑清晰,并防止不必要的排序操作。如果需要对合并后的结果进行排序,应将排序放在 `UNION` 之外的外部查询中,...
SQL的ORDER BY 关键字,INSERT INTO语句,UPDATE语句,DELETE语句
12-14
在SQL(Structured Query Language)中,`ORDER BY`、`INSERT INTO`、`UPDATE`和`DELETE`是四个非常基础且重要的操作关键字,它们分别用于数据的排序、插入、修改和删除。 **ORDER BY 关键字** `ORDER BY`用于对SQL...
防止通过ORDER BY 进行SQL语句注入
子夜侠客FINN的博客
09-24 4529
[size=large][b]背景:[/b][/size]一般MIS系统的开发中,都会给表格设计一个题头进行排序的功能。具体的实现是将SQL语句中的ORDER BY 字句的两个参数:排序字段、排序方式作为对象的属性,由前台提交到后台。 [size=large][b]问题:[/b][/size]如果对这两个参数(我暂且称为sortName,sortType)没有进行有效的控制,就可能导致脚...
java order by 防止注入的方法
滕青山博客
01-04 2434
防注入方法 /** * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序) */ public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+"; /** * 检查字符,防止注入绕过 */ public static String escapeOrderBySql(String value) { if (StringUtils.isNotEm
[实践总结] 如何防护order by导致的SQL注入
最新发布
张紫娃的博客
12-30 1446
example.setOrderByClause("字段名1 ASC/DESC,字段名2 ASC/DESC,...");
order by 注入
硫酸超的博客
08-07 2455
order by 注入前言直接添加注入语句利用一些函数利用 andorderby stacked injection 前言 尝试?sort=1 desc 或者 asc,显示结果不同,则表明可以注入。(升序 or 降序排列) 从上述的 sql 语句中我们可以看出,我们的注入点在 order by 后面的参数中,而 order by 不同于的我们在 where 后的注入点,不能使用 union 等进行注入。 如果order by '1’显示的是默认排序 直接添加注入语句 ?sort=(select ******
java注入攻击_javaSQL注入
weixin_34357833的博客
02-25 408
前言在java中,最常见的连接数据库方式有JDBC,Mybatis,和Hibernate。那我们只需要注意这些地方就可以判断是否存在sql注入即可0x01、Mybatis下SQL注入Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,Mybatis支持两种...
MySQL 通过索引优化含ORDER BY的语句
12-15
MySQL数据库在处理含`ORDER BY`的SQL语句时,索引优化是非常关键的一环,因为这直接影响到查询性能。以下是一些关于如何利用索引来优化`ORDER BY`语句的知识点: 1. **合理创建索引**:索引可以显著提高数据读取...
Mysql优化order by语句的方法详解
09-09
在MySQL数据库中,ORDER BY语句用于对查询结果进行排序,但它的执行效率并不总是最优的,尤其是在处理大量数据时。本文将深入探讨如何优化ORDER BY语句,以提高查询性能。 MySQL有两种主要的排序方式: 1. **通过...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
java 删除sql注释_java 去掉sql注释 "--......"
weixin_33842969的博客
02-16 627
java代码,去掉sql中的注释.录井任务.sqlselect tsk.well_id,tsk.owner_org_id owner_id, ---业务IDto_char(tsk.start_pause_time1, 'yyyy-MM-dd') pause_start, --中停开始日期to_char(tsk.end_pause_time1, 'yyyy-MM-dd') pause_end, -...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6468
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
mybatis动态传入order by(排序字段) 和 sort(排序方式) 防止注入
热门推荐
yump的博客笔记
09-29 2万+
mybatis动态传入order by(排序字段) 和 sort(排序方式) 只能使用KaTeX parse error: Expected 'EOF', got '#' at position 8: {}传参方式,#̲{}传参无效。但众所周知使用{}传参会有SQL注入问题,上网查了一下很多都说鱼与熊掌不可兼得,接下来介绍一下如何使用动态传参且能够防止注入的方法。 一、mybatis的两种传参方式#{}和${} 1. #传参 1.1 # 是通过prepareStatement的预编译的,会对自动传入的数据加
PageHelper的order by方法可替代mybatis中order by必须使用$来避免sql注入
JosephJames的博客
03-14 7403
** PageHelper的order by方法可替代mybatis中order by必须使用$来避免sql注入 ** 在my batis中,我们通常使用#{字符}来传值。在mybatis中使用order by排序时也习惯性的使用#,然后发现sql错误,后来研究才发现在order by中使用#,最后转换的值在外面多了两个单引号,如 order by '‘id asc’。因此在order by这里可...
SQLServer去除子查询中的order by
Master-Pan的专栏
03-20 2231
SQL解析工具:SqlParser ,GitHub地址 https://github.com/JSQLParser/JSqlParser 本次演示版本:http://search.maven.org/remotecontent?filepath=com/github/jsqlparser/jsqlparser/0.9.1/jsqlparser-0.9.1.jar 转换工具类(先导入下载的jar
java执行sql脚本去重,使用SQL语句去掉重复的记录【两种方法】
weixin_32867521的博客
03-12 791
海量数据(百万以上),其中有些全部字段都相同,有些部分字段相同,怎样高效去除重复?如果要删除手机(mobilePhone),电话(officePhone),邮件(email)同时都相同的数据,以前一直使用这条语句进行去重:delete from 表 where id not in(select max(id) from 表 group by mobilePhone,officePhone,emai...
php正则表达式去掉sql里面的order by
walle的博客
07-31 478
在sqlserver里面,例如这样的语句会报错: select count(1) from ( select * from aaa order by productid ) 除非另外还指定了 TOP、OFFSET 或 FOR XML,否则,ORDER BY 子句在视图、内联函数、派生表、子查询和公用表表达式中无效。 正则表达式去掉sql里面的order by $sql = "select * from (select * from t_x Order by ( id) Asc ,.
如何在Java应用程序中预防SQL注入
allway2的博客
07-22 1577
这背后的主要原因是预准备语句的本质数据库服务器使用它们来缓存拉取结果集所需的查询计划,这对于任何可能的值通常都是相同的。在本文中,我们介绍了Java应用程序中的SQL注入漏洞——对任何依赖数据进行业务的组织来说都是一个非常严重的威胁——以及如何使用简单的技术来防止它们。主要思想是,即使我们无法在代码中找到所有可能的漏洞——这是处理遗留系统时的常见情况——我们至少应该尝试限制攻击可能造成的损害。如果在生成此代码的过程中,我们使用未经适当清理的不受信任的数据,我们就会为黑客利用敞开大门。...
sql注入当中order by拆解字段语句
07-08
以下是一个示例的 SQL 注入攻击中使用拆解字段ORDER BY 语句: SELECT column1, column2, ... FROM table_name ORDER BY 1, (SELECT COUNT(*) FROM sensitive_table) 在这个示例中,攻击者通过在 ORDER BY 子句...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值