您的位置:首页 > 数据库 > Oracle

oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法

2018-02-27 10:08 761 查看
项目需要出安全扫描报告,但是每次都有40左右高危漏洞

为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。

1、最常见的是sql参数用  ? 英文问号代替  参数直接依次放在jdbc的api后面

注:execute  与update区别是前面的不能加参数,后面的可追加参数

2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map

例子如下

List<String> A00List = Arrays.asList(A00.split(","));

Map<String,Object> paramMap = new HashMap<String,Object>();

paramMap.put("A00List", A00List);

String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “

this.jdbcOperations.update(UpdateRERSql, paramMap);

3、如果jdbc调用的是 executeQuery,用下面的方法

//采用预处理方式,解决executeQuery无法添加参数问题
       
PreparedStatement prestmt = connection.prepareStatement(sqliteSql);
       
prestmt.setString(1,tblname[i]);
       
prestmt.setString(2,puserid);
       
ResultSet rSet=prestmt.executeQuery();

4、待解决问题,in中是否可以放置两个键,batchUpdate(批量更新)是否可以传paramMap

欢迎一起讨论
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: 
相关文章推荐