TestNG框架使用

改进SQL盲注漏洞:从JDBC到PreparedStatement的安全实践
最新推荐文章于 2025-07-12 18:12:41 发布
原创 最新推荐文章于 2025-07-12 18:12:41 发布 · 196 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#TestNG #DBUnit

一、简介

       最近公司产品应客户要求,需要做安全加固:由IBM Security AppScan Standard软件进行扫描,针对扫描结果报告中的问题,进行修复。由于公司产品使用时间较长,其整个Dao层没有采用Hibernate等流行的ORM框架,而使用原生JDBC封装并且直接使用简单字符串拼接形成增删改查SQL语句,所以被扫描出大量SQL盲注的漏洞。

二、解决方案

       1、修改整个DAO层。使用PreparedStatement,采用预编译的方式防止SQL盲注。

       2、由于DAO层属于产品的核心层,如此大规模的修改底层结构,需要进行详细测试,保证产品应用层的功能正常,所以采用TestNG+DBUnit测试框架,对DAO层的每处修改进行测试,保证DAO层的正确性。

三、具体实现

       1、利用Java类文件名大小写敏感的语法特性,创建与原DAO类文件相同名字(Dao-->DAO)的类文件。覆写所有在产品中应用到的DAO方法,采用相对安全的SQL语句。

       2、由于产品中使用的近百张表,所有手动构建测试数据,工作量异常繁琐,并且容易出错,所以利用VO文件与数据库表名的固定对应关系,使用反射机制动态生成测试数据。

       3、利用产品中的通用数据库连接池功能模块,通过配置测试数据库的配置信息,供测试类方法调用。

       4、将DAO测试类通用的方法,如:测试方法调用前,资源的准备;测试方法调用后,资源的释放。通过TestNG的@BeforeMethod与@AfterMethod注解,进行配置调用。

四、详细代码

        1、代码列表

         ConnectionPool.java

         BasicConnectionPoolTestUtil.java(为DBUnit提供数据源)

         testdb.properties

         testng-dao.xml

         DaoTestSuite.java

         AlarmValue.java(VO)

         BaseDAO.java

         AlarmDAO.java(原DAO)

         AlarmDao.java(新DAO)

         AlarmDaoTest.java

         2、源代码(详情查看附件)

        

         

testng介绍
weixin_42697121的博客
08-27 2万+
1、testng是什么? TestNG是Java中的一个测试框架 2、testng用来干什么? 即可以用来做单元测试,也可以用来做集成测试。 3、特点 -解 -TestNG使用Java和面向对象的功能 -支持综合类测试(例如,默认情况下,没有必要创建一个新的测试每个测试方法的类的实例) -独立的编译时间测试代码运行时配置/数据信息 -灵活的运行时配置 -主要介绍“测试组”。当编译测试,...
Testng的简介和使用
zhangliang1010的博客
09-20 1904
testng 是一个java测试框架
项目开发中安全问题及解决方案------sql
adru的博客
01-19 823
所谓,指的是入后并不能从服务器得到任何执行结果(甚至是错误信息),只能寄希望服务器对于 SQL 中的真假条件表现出不同的状态。也就是说,通过在真假条件中加入 SLEEP,来实现通过判断接口的响应时间,知道条件的结果是真还是假。基于时间的原理就是,虽然 不能直接查询出 password 字段的值,但可以按字符逐一来查,判断第一个字符是否是 a、是否是 b……在代码中,我们可以引入p6spy工具打印出所有执行的 SQL,观察 sqlmap 构造的一些 SQL,来分析 其中原理。
Java+Selenium3框架设计准备篇1-TestNG简单介绍
Anthony_tester的博客
07-13 9528
前面文章我们运行测试用例都是在main方法下,有没有什么方法不需要用main方法去执行用,这就需要单元测试框架的支持,这篇简单介绍TestNG单元测试框架。 1.什么是TestNG 你们也许很多人听说过TestNG ,Junit,Nunit 这些工具,也肯定想它们到底有什么区别。 1)三者都是独立于测试框架,在市场上都可以免费得到。 2)TestNG和Junit在JAVA上使用,Nun
TestNG单元测试框架使用
Lupu's journey - 生活、分享
07-04 3363
一、TestNG简介和安装TestNG(Test Next Generation)是一个测试框架,和Unit类似,但引入了一些新的功能,使其功能更强大,使用更方便。TestNG作为Java项目的单元测试框架,在参数化测试、依赖测试和套件测试(分组概念)方面更加突出。 TestNG用于高级测试和复杂集成测试。 它的灵活性对于大型测试套件尤其有用。 此外,TestNG还涵盖了整个核心的JUnit4功能。
TestNG框架使用方法及意事项总结
weixin_53887187的博客
07-01 1504
TestNG会自动生成HTML报告(位于test-output文件夹)可集成ExtentReport等第三方报告框架增强报告功能。确保测试结果能够被CI工具(如Jenkins)正确解析。考虑使用外部文件(Excel/CSV)作为数据源。实现数据驱动时,意数据量过大会影响执行时间。使用testng.xml文件灵活配置测试套件。TestNG默认不保证测试方法的执行顺序。可用于失败截图、日志记录等扩展功能。测试方法应尽可能独立,减少依赖。优先使用TestNG的。如需控制顺序,可使用
TestNG框架使用心得(一)初识TestNG
wanglong12341的博客
08-20 2028
TestNG是一个源于JUnit和NUnit但有所超越的新测试框架TestNG引入的一些新功能使自己更强大和易用:学习好TestNG我们可以节省非常多时间,并解决我们很多痛点。 TestNG按照官方的定义: TestNG是一个测试框架,其灵感来自JUnit和NUnit,但引入了一些新的功能,使其功能更强大,使用更方便。 TestNG是一个开源自动化测试框架;TestNG表示下一代(Next...
TestNG框架搭建整理
Good_old_boy的博客
07-12 288
- 第一个执行 --><test name="PaymentTests"> <!-- 第二个执行 --><test name="SecurityTests"><!-- 第三个执行 -->└── testng.xml # XML配置文件。:定义测试方法执行顺序(数值越小优先级越高):将测试方法分组,支持按组执行。
TestNG自动化测试框架基础篇
Fddadd的博客
03-31 426
进程(PROCESS)定义进程是操作系统进行资源分配和调度的基本单元,是程序的一次动态执行过程。例如,运行一个浏览器程序时,操作系统会为其创建一个进程,并分配独立的内存空间和系统资源23。特点独立性:每个进程拥有独立的地址空间,互不干扰。资源开销大:进程的创建、切换和销毁需要较高的系统资源。通信成本高:进程间需通过IPC(Inter-Process Communication)机制通信,如管道、信号量等。
基于java的testNG框架开发的接口自动化测试框架使用maven项目,基于jdk8.zip
10-09
使用这套基于Java的testNG框架开发的接口自动化测试框架,能够通过定义测试用例、测试套件和测试组,自动地执行接口测试,运行测试报告,并提供测试数据的管理和分析。这样的自动化流程不仅减少了人为错误,还提高了...
TestNG框架使用心得(二)TestNG 安装
wanglong12341的博客
08-20 604
安装有两种方法 一、在线安装新软件 eclipse-Help-InstallNew Software, Name:随便输入一个 Location:http://dl.bintray.com/testng-team/testng-p2-release 下一页面选择:I agree ..... 在点击Next ,直到安装完成,重启Eclipse 二、市场安装 eclipse-Help...
基于AlexNet的Python手写数字识别系统实现与实验分析
最新发布
11-27
本资源提供了一套运用AlexNet架构进行手写数字识别的完整解决方案,包含Python程序与详细实验文档。代码部分附有清晰的释说明,便于初学者理解与掌握。该方案在学术评审中获得了优异的评价,特别适合作为毕业设计、课程终期作业或学术项目的实践案例。 资源内容组织严谨,结构清晰,使用者可通过简单的配置步骤快速部署运行。实验报告系统地阐述了理论基础、方法实现与结果分析,为深度学习在图像识别领域的应用提供了规范的实践参考。整套材料重逻辑性与可操作性,能够有效辅助学习者掌握卷积神经网络的核心原理及实际应用。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
雅砻江.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
青衣江和岷江干流.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
c++大作业宠物小精灵对战系统.zip
11-27
c++大作业宠物小精灵对战系统.zip
51单片机c源码-用指针数组作为函数的参数显示多个字符串
11-27
51单片机c源码-用指针数组作为函数的参数显示多个字符串
汾河.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
电气2302王宁宁音响放大系统设计.pdf
11-27
电气2302王宁宁音响放大系统设计.pdf
TestNG框架
06-16
### TestNG框架使用指南 TestNG是一个强大的开源测试框架,专为简化多种类型的测试而设计。它提供了丰富的功能和灵活的配置选项,能够满足从单元测试到集成测试的各种需求[^1]。 #### 1. 环境搭建 在开始使用TestNG之前,需要确保开发环境已经正确配置。以下是基本步骤: - **安装依赖**:对于Maven项目,可以在`pom.xml`中添加以下依赖项。 ```xml <dependency> <groupId>org.testng</groupId> <artifactId>testng</artifactId> <version>7.4.0</version> <scope>test</scope> </dependency> ``` - **IDE集成**:TestNG与Eclipse、IntelliJ IDEA等主流IDE工具无缝集成。可以通过插件或内置支持直接运行TestNG测试用例[^2]。 #### 2. 基本概念与TestNG通过一系列解来定义测试行为,这些解使得测试代码更加直观且易于维护。以下是常用的解及其用途: - `@Test`:用于标记测试方法。 - `@BeforeMethod` 和 `@AfterMethod`:分别在每个测试方法执行前/后运行。 - `@BeforeClass` 和 `@AfterClass`:分别在类中的所有测试方法执行前/后运行。 - `@BeforeSuite` 和 `@AfterSuite`:分别在整个测试套件执行前/后运行。 - 示例代码如下: ```java import org.testng.annotations.*; public class SampleTest { @BeforeMethod public void setUp() { System.out.println("Before Method"); } @Test public void testExample() { System.out.println("Running Test"); } @AfterMethod public void tearDown() { System.out.println("After Method"); } } ``` #### 3. 测试参数化 TestNG支持通过`@Parameters`解实现参数化测试,允许同一个测试用例使用不同的输入数据运行。例如: ```java import org.testng.annotations.Parameters; import org.testng.annotations.Test; public class ParameterizedTest { @Test @Parameters({"param1", "param2"}) public void testWithParameters(String param1, String param2) { System.out.println("Parameter 1: " + param1); System.out.println("Parameter 2: " + param2); } } ``` 参数值可以通过XML文件或命令行传递。 #### 4. 并发测试 TestNG内置了对并发测试的支持,可以轻松实现多线程测试执行。通过设置`parallel`属性,可以选择按方法、类或实例级别并行执行测试用例。例如: ```xml <suite name="ParallelTestSuite" parallel="methods" thread-count="5"> <test name="ParallelTest"> <classes> <class name="com.example.ParallelTestClass"/> </classes> </test> </suite> ``` #### 5. 报告生成 TestNG提供详细的测试报告功能,包括HTML格式的测试结果报告。此外,还可以通过自定义监听器扩展报告功能。例如,实现`ITestListener`接口以捕获测试事件并生成自定义日志。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值