oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法

wx6302e02ec3673 2022-08-23 数据库 114 0 百度已收录

ECS 云服务器 SWAS 轻量应用服务器 RDS 云数据库 Redis 云数据库 CDN 内容分发 OSS 对象存储 SLB 负载均衡 NAT 网关 DNS 云解析 MAIL 企业邮箱 WAF 应用防火墙 DDoS 高防 SMS 短信包 MK 云市场 XIN 心选 IM 商标注册 JZ 自营建站

项目需要出安全扫描报告,但是每次都有40左右高危漏洞

为了 解决漏洞,最小的代价是用预编译方式查询sql,不用String拼接的方式。

1、最常见的是sql参数用 ? 英文问号代替 参数直接依次放在jdbc的api后面

注:execute 与update区别是前面的不能加参数,后面的可追加参数

2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用:Key的形式书写,value放入Map,最后在api中只调用一个Map

例子如下

List<String> A00List = Arrays.asList(A00.split(","));
 Map<String,Object> paramMap = new HashMap<String,Object>();
 paramMap.put("A00List", A00List);String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “
this.jdbcOperations.update(UpdateRERSql, paramMap);