拼接SQL语句的优雅姿势

最新推荐文章于 2022-10-28 16:52:11 发布
最新推荐文章于 2022-10-28 16:52:11 发布
阅读量1.3k 收藏
点赞数
分类专栏: 杂七杂八 Java 数据库 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaoxjzhao/article/details/50531451
版权
杂七杂八 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
数据库
7 篇文章 0 订阅
订阅专栏
Java
5 篇文章 0 订阅
订阅专栏
该博客探讨了如何使用StringBuilder或StringBuffer来安全地构造SQL查询,强调避免直接拼接外部输入以防止SQL注入攻击。示例展示了通过连接查询获取约束名称和列名的SQL语句,特别指出了要对表名和所有者进行大小写转换,并过滤出主键约束。
摘要由CSDN通过智能技术生成 
StringBuffer sql = new StringBuffer();
sql.append("select A.constraint_name,A.column_name");
sql.append(" from dba_cons_columns A LEFT JOIN dba_constraints B");
sql.append(" ON A.table_name=B.table_name");
sql.append("   and A.owner=b.owner");
sql.append("   and A.constraint_name=B.constraint_name");
sql.append(" where A.table_name=upper('TABLEA')");
sql.append("   and A.owner=upper('admin')");
sql.append("   AND B.constraint_type='P'");
sql.append(" order by position");

  当然啦,姿势优雅也得注意安全,千万不要直接拼外部传入的字符串变量进去哦。

jimzhao
关注
专栏目录
sql注入空格被过滤_SQL注入:各种绕过检测的姿势
weixin_39874589的博客
11-16 4310
这一篇主要总结一下sqlilabs中advanced injection中的用到的各种绕过,也就是less21-less38。目录1)数据编码2)特殊字符、语法关键字过滤3)存储型注入4)特殊字符转义与宽字节注入5)防火墙保护与http参数污染数据编码http://111.231.88.117/sqli_lab/sqli-labs-php7/Less-21/ http://111.231.88.1...
sql注入
zejiiii的博客
02-15 3086
SQL注入 一 注入分类 注入点分类 数字型注入 字符型注入 提交方式分类 提交方式分类 GET 方式注入 POST 方式注入 COOKIE 方式注入 HTTP 头部注入:XFF,UA,REFRERE 是否回显 联合查询 布尔盲注 报错注入 时间盲注 二次注入 堆叠查询(同时执行多条语句) 二 注入判断 工具扫描:网站漏扫工具,AWVS、AppScan、OWASP-ZAP、Nes
曾经参加某公司的一道面试题--ASP.NET中如何防范SQL注入式攻击
世上无难事,只怕有心人
06-16 2834
在网上找到的资料如下:一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登
查询时间的条件判断sql.append()拼接,list.add(值)
u011271164的博客
03-27 2245
//开始时间 if (!StringUtils.isEmpty(VO.getStarttime())) {//判断非空才可以往下走 sql.append(" and 时间字段 >= to_date( ?, 'yyyy-mm-dd hh24:mi:ss') "); if (VO.getStarttime().length...
JAVASQL动态拼接(笔记、(11))
weixin_58033123的博客
08-22 1600
JAVASQL动态拼接
优雅的拼装SQL
weixin_34396103的博客
08-05 377
2019独角兽企业重金招聘Python工程师标准>>> ...
java 拼接 sql in
weixin_49092012的博客
10-28 943
拼接in
sql.append中使用concat模糊查询
farmss的博客
12-20 694
@Transactional(rollbackFor = Exception.class) public List<PdArchives> getPdArchives(PdArchives dto3, CheckAbnormal dto) { if (StringUtils.isNotEmpty(dto3.getName())) { Map<String, String> map = new HashMap<>(); map.put("name",..
sql.append 使用有空格的字符串_[Python Basic] 字符串处理以及类型转换 2
weixin_39571404的博客
12-07 318
本节内容涉及函数稍多, 需要慢点消化, 一如既往的, 我们不仅说说 python 的最小必要知识, 也讲讲编程英语.Python内置方法和函数续接上节课,我们还可以使用Python内置的方法和函数来处理字符串。upper()函数upper() 函数, 将文本内的每个字符转换并打印为大写字符. 英文:it will convert and print every character inside t...
第10篇:Bypass 护卫神SQL注入防御(多姿势)1
08-03
例如,如果只过滤了"union select",但未过滤"select from",则可以构造特定的SQL语句,如使用盲注或延迟注入的方式进行攻击。 值得注意的是,这些绕过策略应当仅用于测试和学习目的,而不是用于非法活动。实际应用...
SQL语句拼装工具
06-26
java程序时用来拼装sql语句时使用的小工具,在.net 4.0环境下运行。例如将 select a, b, c from abc where a like('3') 转换为: sql.append("select "); sql.append(" a, "); sql.append(" b, "); sql.append(" c "); sql.append("from abc "); sql.append("where a like('3') ");
sql的封装,不需要使用StringBuffer进行字符串拼接
04-15
sql的封装,不需要使用StringBuffer进行字符串拼接 直接使用对象封装
绕过mysql转义字符_SQL注入:各种绕过检测的姿势
weixin_29466045的博客
01-19 2711
这一篇主要总结一下sqlilabs中advanced injection中的用到的各种绕过,也就是less21-less38。目录1)数据编码2)特殊字符、语法关键字过滤3)存储型注入4)特殊字符转义与宽字节注入5)防火墙保护与http参数污染数据编码这个是最简单的,就是在普通注入的基础上用响应的编码方式编码一下payload即可,比如sqlilabs上这两个靶站都是用的base64编码。特殊字符...
SQL注入——POST注入和HEAD注入
weixin_46601374的博客
02-25 1724
POST注入如何注入 POST注入和普通注入一样,只是通过post提交数据,在提交的数据中进行注入。 post注入会出现在哪里 登录框,查询框等各种各样的框 万能密码原理 select username,password from users where username='admin' and password = ' 'or 1=1%23' limit 0,1(我们来看着语句逻辑,where后面是条件,username和password之间是and连接,所以两个有一个为否返回就是否,
sql.append 使用有空格的字符串_TRIM函数删除空格
weixin_39530288的博客
12-03 339
TRIM函数用于删除字符串中多余的空格,但会在英文字符串中保留一个作为词与词之间分隔的空格。其语法是:TRIM(text)其中,text参数是需要删除空格的文本字符串,或对含有文本字符串单元格的引用。下面通过实例具体讲解该函数的操作技巧。打开“TRIM函数.xlsx”工作簿,本例中的原始数据如图12-33所示。为了规范工作表中英文字符的书写,需要使用TRIM函数将单元格中的多余空格删除,使工作表整...
StringBuffer 拼接sql语句
stevenbill的博客
04-30 2159
[code="java"] Hello [/code] [code="java"] 哈哈 &nbsp; [/code]
jfianl sql 使用append 拼接,防sql注入
weixin_30662849的博客
03-04 509
public Page<Channel> getChannelByPage(int pageNum, int pageSize, Map<String , String> paramMap){ String sql = "SELECT * "; String orderBy = " ORDER BY id DESC"; ...
APPEND的作用
邵冬梁的专栏
04-12 2483
在使用了append选项以后,insert数据会直接加到表的最后面,而不会在表的空闲块中插入数据。使用append会增加数据插入的速度。/*+APPEND*/的作用是在表的高水位上分配空间,不再使用表的extent中的空余空间append 属于direct insert,归档模式下append+table nologging会大量减少日志,非归档模式append会大量减少日志,append方式
sql case when 拼接sql语句
最新发布
09-02
SQL的CASE WHEN语句可用于根据条件生成动态SQL语句。当我们需要根据不同的情况执行不同的SQL语句时,可以使用CASE WHEN来实现。 拼接SQL语句的一种常见场景是根据输入的条件动态生成查询语句。例如,假设我们有一个学生表,其中包含了学生的姓名、年龄和性别等字段。我们想要根据不同的条件查询不同的信息。 在这种情况下,我们可以使用CASE WHEN进行动态的SQL拼接。如下所示: ``` DECLARE @condition NVARCHAR(20) = 'age' DECLARE @sql NVARCHAR(MAX) = 'SELECT ' SET @sql = @sql + CASE WHEN @condition = 'name' THEN 'name' WHEN @condition = 'age' THEN 'age' WHEN @condition = 'gender' THEN 'gender' END SET @sql = @sql + ' FROM students' PRINT @sql EXECUTE sp_executesql @sql ``` 在上述示例中,我们使用变量`@condition`指定查询条件,然后根据条件使用CASE WHEN拼接查询语句的SELECT部分。在这种情况下,我们根据`@condition`的不同值,选择是否查询学生的姓名、年龄或性别字段。 通过这种方式,我们可以根据不同的情况动态拼接SQL语句,使查询更加灵活和适应不同的需求。使用CASE WHEN可以让我们根据条件来控制拼接SQL语句,提高了查询语句的灵活性和可扩展性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值