oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法 |
您所在的位置:网站首页 › jdbc 预编译和非预编译 sql注入 › oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法 |
|
oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法
原创
wx6302e02ec3673 2022-08-22 16:02:35 博主文章分类:数据库,框架 ©著作权 文章标签 sql 预编译 预处理 文章分类 数据库 ©著作权归作者所有:来自51CTO博客作者wx6302e02ec3673的原创作品,请联系作者获取转载授权,否则将追究法律责任项目需要出安全扫描报告,但是每次都有40左右高危漏洞 为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。 1、最常见的是sql参数用 ? 英文问号代替 参数直接依次放在jdbc的api后面 注:execute 与update区别是前面的不能加参数,后面的可追加参数 2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map 例子如下 List A00List = Arrays.asList(A00.split(",")); Map paramMap = new HashMap(); paramMap.put("A00List", A00List);String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “this.jdbcOperations.update(UpdateRERSql, paramMap);3、如果jdbc调用的是 executeQuery,用下面的方法 //采用预处理方式,解决executeQuery无法添加参数问题 PreparedStatement prestmt = connection.prepareStatement(sqliteSql); prestmt.setString(1,tblname[i]); prestmt.setString(2,puserid); ResultSet rSet=prestmt.executeQuery();4、待解决问题,in中是否可以放置两个键,batchUpdate(批量更新)是否可以传paramMap 欢迎一起讨论 赞 收藏 评论 分享 举报上一篇:证书打印总结(模版格式调试、word拼接基于Aspose.Word) 下一篇:1月经验总结 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |