oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法

wx6302e02ec3673 2022-08-23 数据库 72 0 百度已收录

阿里云新用户专享
领取限量2000元代金券

限量爆款选购
2核8G内存5M带宽3000元/3年

学生用户专属
18-24岁用户直享￥9.5/月

全民上云优选
新老用户均可购买低至17元/月

企业级应用一折起购
稳定，可靠企业级独享实例

多产品一键采购
购物车采购可减5000元

ECS 云服务器 SWAS 轻量应用服务器 RDS 云数据库 Redis 云数据库 CDN 内容分发 OSS 对象存储 SLB 负载均衡 NAT 网关 DNS 云解析 MAIL 企业邮箱 WAF 应用防火墙 DDoS 高防 SMS 短信包 MK 云市场 XIN 心选 IM 商标注册 JZ 自营建站

项目需要出安全扫描报告，但是每次都有40左右高危漏洞

为了解决漏洞，最小的代价是用预编译方式查询sql，不用String拼接的方式。

1、最常见的是sql参数用 ? 英文问号代替参数直接依次放在jdbc的api后面

注：execute 与update区别是前面的不能加参数，后面的可追加参数

2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用：Key的形式书写，value放入Map，最后在api中只调用一个Map

例子如下

List<String> A00List = Arrays.asList(A00.split(","));
 Map<String,Object> paramMap = new HashMap<String,Object>();
 paramMap.put("A00List", A00List);String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “
this.jdbcOperations.update(UpdateRERSql, paramMap);

//采用预处理方式，解决executeQuery无法添加参数问题
PreparedStatement prestmt = connection.prepareStatement(sqliteSql);
prestmt.setString(1,tblname[i]);
prestmt.setString(2,puserid);
ResultSet rSet=prestmt.executeQuery();

oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法

发表评论

发表评论取消回复

相关文章

发表评论

发表评论 取消回复

发表评论取消回复