jdbc动态条件查询防止sql注入的解决方案

╰+攻爆jí腚メ 2021-09-26 02:38 769阅读 0赞

**问题场景：**这里的动态查询是指，select语句的某一个或多个查询条件是这种情况：不限或指定值。不限就是这个条件要去掉，指定值就是这个条件必须要。

比如你会看到买房子的网站的查询选项是这样的：

*  地区：不限或北京、上海、…。(下拉选项)
 *  类型：不限或二手房或新房。（下拉选项）
 *  户型：不限或三室一厅、三室二厅、二室一厅、…。(下拉选项)

也可能还有更多的条件。

**分析：**如果地区条件用户选不限，sql查询的where语句中地区条件就不能要，如果选北京或某个城市，地区条件要就加上。其它条件也是这样。这种情况下，sql语句不是固定的，怎么办？

**解决方案：**

**一.动态拼接sql语句。(不推荐)**

这种方法不安全，因为会有sql注入的风险。在java的jdbc中动态拼接sql语句因为其中?号这种替代符的位置和数目不是固定的，因此不能使用preparedStatement来防止sql注入。

**二.写存储过程。（推荐）**

存储过程不仅可以解决动态sql语句的问题，还能有效解决sql注入的问题。

比如上面提到的这个例子，写一个查询的存储过程

DELIMITER &&
    create PROCEDURE get_houses_by_conditions(IN p_city varchar(30),IN p_type INT，IN p_layout INT) begin select * from `tb_house` house where (house.`city` = p_city or p_city is null) and (house.`type` =p_type or p_type is null ) and (house.`layout` =p_layout or p_layout is null );
    end &&

城市这个参数实际可能是INT类型的，这里只是举个例子。实际情况下，还要加上limit来做分页，这个也不要纠结。

调用的时候，参数可以传NULL或某个指定值，比如：

查询所有不限条件的房子：  
call `get_houses_by_conditions`(NULL,NULL,NULL);

查询北京的所有房子：  
call `get_houses_by_conditions`(‘北京’,NULL,NULL);

使用JDBC操作数据库时，因为要使用PreparedStatement来防止sql注入，那么sql语句就可以这么写了  
String sql=”call `get_houses_by_conditions`(?,?,?);”  
然后根据用户的选择，我们将问号通配符替换成NULL或具体值。

> 附上删除存储过程的代码  
> DELIMITER &&  
> DROP PROCEDURE get\_houses\_by\_conditions;  
> &&

发表评论取消回复

表情：

评论列表（有 0 条评论，769人围观）

还没有评论，来说两句吧...

相关阅读

相关 Java 防止SQL注入的四种方案

原文链接：https://mp.weixin.qq.com/s/\_iQ2Cb\_\_QOQoRMLmcGebaA 大佬写的特别好，担心大佬文章搬家，这里做个备份 ---

朱雀/ 2024年03月24日 22:42/ 0 赞/ 40 阅读

相关【java】JDBC与防止sql注入

文章目录一、JDBC概述二、JDBC 原理三、JDBC 开发步骤【myeclipse】 2) 注册驱动 3）获取链接：

小灰灰/ 2024年02月19日 14:43/ 0 赞/ 48 阅读

相关 Mysql模糊查询防止sql注入

使用concat配合escape 防止sql注入 escape意思就是说/之后的\_不作为通配符 <if test="params.jobName != null

野性酷女/ 2022年12月10日 03:47/ 0 赞/ 279 阅读

相关动态 SQL 语句与防止 SQL 注入

《SQL 从入门到精通》专栏目录 [第 01 篇和数据打交道的你，一定要学会 SQL][01 _ _ SQL] [第 02 篇在 SQL 的世界里一切都是

野性酷女/ 2022年12月09日 08:13/ 0 赞/ 302 阅读

相关 MyBatis 模糊查询防止Sql注入

\\{xxx\}，使用的是PreparedStatement，会有类型转换，所以比较安全； $\{xxx\}，使用字符串拼接，可以SQL注入； like查询不小心会有漏洞，

朴灿烈づ我的快乐病毒、/ 2022年08月04日 08:58/ 0 赞/ 280 阅读

相关 nodejs中查询mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the `.query()` me

ゝ一世哀愁。/ 2022年05月17日 00:10/ 0 赞/ 254 阅读

相关在JDBC中使用preparedStatement防止SQL注入

文章目录一、SQL注入二、SQL注入实例登录场景：

我不是女神ヾ/ 2022年03月19日 14:54/ 0 赞/ 277 阅读

相关 mybatis模糊查询防止SQL注入

程序员界的彭于晏 2019-04-15 14:26:00 SQL注入，大家都不陌生，是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段（例如“or

曾经终败给现在/ 2022年02月19日 12:53/ 0 赞/ 422 阅读

相关 jdbcTemplate动态查询且防止sql注入实现

使用jdbcTemplate.update(sql, array); 防止sql注入 public Object updateCarGroup(CarGroupIn

朱雀/ 2021年10月09日 08:34/ 0 赞/ 2410 阅读

相关 jdbc动态条件查询防止sql注入的解决方案

问题场景：这里的动态查询是指，select语句的某一个或多个查询条件是这种情况：不限或指定值。不限就是这个条件要去掉，指定值就是这个条件必须要。比如你会看到买房子的网站的查

╰+攻爆jí腚メ/ 2021年09月26日 02:38/ 0 赞/ 770 阅读