oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法
2018-02-27 10:08
761 查看
项目需要出安全扫描报告,但是每次都有40左右高危漏洞
为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。
1、最常见的是sql参数用 ? 英文问号代替 参数直接依次放在jdbc的api后面
注:execute 与update区别是前面的不能加参数,后面的可追加参数
2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map
例子如下
List<String> A00List = Arrays.asList(A00.split(","));
Map<String,Object> paramMap = new HashMap<String,Object>();
paramMap.put("A00List", A00List);
String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “
this.jdbcOperations.update(UpdateRERSql, paramMap);
3、如果jdbc调用的是 executeQuery,用下面的方法
//采用预处理方式,解决executeQuery无法添加参数问题
PreparedStatement prestmt = connection.prepareStatement(sqliteSql);
prestmt.setString(1,tblname[i]);
prestmt.setString(2,puserid);
ResultSet rSet=prestmt.executeQuery();
4、待解决问题,in中是否可以放置两个键,batchUpdate(批量更新)是否可以传paramMap
欢迎一起讨论
为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。
1、最常见的是sql参数用 ? 英文问号代替 参数直接依次放在jdbc的api后面
注:execute 与update区别是前面的不能加参数,后面的可追加参数
2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map
例子如下
List<String> A00List = Arrays.asList(A00.split(","));
Map<String,Object> paramMap = new HashMap<String,Object>();
paramMap.put("A00List", A00List);
String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “
this.jdbcOperations.update(UpdateRERSql, paramMap);
3、如果jdbc调用的是 executeQuery,用下面的方法
//采用预处理方式,解决executeQuery无法添加参数问题
PreparedStatement prestmt = connection.prepareStatement(sqliteSql);
prestmt.setString(1,tblname[i]);
prestmt.setString(2,puserid);
ResultSet rSet=prestmt.executeQuery();
4、待解决问题,in中是否可以放置两个键,batchUpdate(批量更新)是否可以传paramMap
欢迎一起讨论
相关文章推荐
- oracle共享服务器创建成功后,通过jdbc连接数被限制,报错:java.sql.SQLException: Io 异常: End of TNS data channel解决方法
- oracle共享服务器创建成功后,通过jdbc连接数被限制,报错:java.sql.SQLException: Io 异常: End of TNS data channel解决方法
- 使用动态sql的方法防止sql注入
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- 在linux上通过JDBC连接ORACLE 时总是出现 java.sql.SQLRecoverableException: IO Error: Connection reset 的问题
- SQL或HQL预编译语句,能够防止SQL注入,但是不能处理%和_特殊字符
- ORACLE-SQL:排序防止NULL影响排序结果的处理方法
- SQL_SERVER 2005 通过链接服务器(Linked Server)访问 ORACLE 的方法
- SQL或HQL预编译语句,可以防止SQL注入,可是不能处理%和_特殊字符
- jdbc防止sql注入方法总结
- Java通过JDBC连接Oracle之后查询结果和在sqlplus查询结果不一样
- PreparedStatement就不用担心sql注入了吗?PreparedStatement防止sql注入的原理!建议看mysql的jdbc的实现类源码
- SQL_SERVER 2005 通过链接服务器(Linked Server)访问 ORACLE 9i 的方法
- 关于利用oracle自带功能防止SQL注入的方法
- PHP防范SQL注入的具体方法详解(测试通过)
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- oracle环境下在dos中使用编译sql脚本执行存储过程的方法
- 通过jdbc使用PreparedStatement,提升性能,防止sql注入
- 通过JDBC/ODBC方法连接SQL Servers与MyEclipe(SQL)
- PHP防范SQL注入的具体方法详解(测试通过)