java防sql注入的sql语句拼接工具sqlHandle

最新推荐文章于 2025-07-10 18:17:47 发布
原创 最新推荐文章于 2025-07-10 18:17:47 发布 · 6.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apkplug #sql注入 #java #hibernate

介绍了一种用于构建灵活SQL查询的工具,该工具通过拼接SQL片段并使用参数化查询来提高安全性与灵活性。

     我在做网站的时候有一个需要 在不同的插入时间改变查询的逻辑结构,这个时候用PreparedStatement就不太适合了灵活性太差。所以我就写了一个sql拼接工具。它的原理是将sql语句段与值绑定在一起,然后在最后拼接的时候把值按顺序传人给PreparedStatement。这样我们任意拼接我们的sql语句还可以防止sql注入的困扰。

   平时我都是用Hibernate进行操作,但有时我多表查询是Hibernate的灵活性就也受到了限制,所以sqlHandle还是适用不少情况的。

  我已经将代码上传到osc代码托管服务了http://git.oschina.net/plug/sqlHandle 欢迎有兴趣的同学可以加入进来来优化一下。

package com.sql.db;

import java.util.ArrayList;
import java.util.Calendar;
import java.util.Date;
import java.util.Iterator;
import java.util.List;
import org.hibernate.SQLQuery;
import org.hibernate.Session;
/**
 * sql拼接代码
 * 一个完整的sql语句可以有多个sqlHandle拼接而成
 * sqlHandle分sql语句 与 sql值,在sql语句中值由?
 * 替代在最后运行是值将依此赋值给hibernate
 * @author 梁前武 
 * www.apkplug.com
 */
public class sqlHandle {
	public String strSql="%s";
	public Object fsql="";
	public String type="";
	public Object[] v=null;
	public List<sqlHandle> list=null;
	public sqlHandle(String strSql,Object fsql,String type,Object[] v){
		this.strSql=strSql;
		this.fsql=fsql;
		this.type=type;
		this.v=v;
	}
	public sqlHandle(Object fsql,String type,Object[] v){
		this.fsql=fsql;
		this.type=type;
		this.v=v;
	}
	public sqlHandle(){
	}
	public  SQLQuery handle(Session session){
		//拼接本sqlHandle sql字符串
		String sql=addWhereSql(strSql,fsql,type);
		for (int i=0;i<list.size();i++) {
			//依此拼接子sqlHandle
			sqlHandle sqlHandle = (sqlHandle) list.get(i);
			sql+=addWhereSql(sqlHandle.strSql,sqlHandle.fsql,sqlHandle.type);
		}
		System.out.println(sql);
		SQLQuery query=session.createSQLQuery(sql);
		//赋值
		setV(query,0);
		return query;
	}
	/**
	 * 将sql中?代替的值依此赋值给hibernate
	 * @param q
	 * @param i  传递值索引位置
	 * @return
	 */
	public int  setV(SQLQuery q,int i){
		if(v!=null)
		for(int j=0;j<v.length;j++){
			if(v[j]!=null){
				//System.out.println("添加参数");
				setV(q,i,v[j]);
				i++;
			}
		}
		if(fsql!=null&&fsql instanceof sqlHandle)
			i=((sqlHandle)fsql).setV(q, i);
		if(list!=null)
		for (int j=0;j<list.size();j++) {
			sqlHandle sqlHandle = (sqlHandle) list.get(j);
			i=sqlHandle.setV(q, i);
		}
		return i;
	}
	/**
	 * 将sql中?代替的值依此赋值给hibernate
	 * @param q
	 * @param i   值索引位置
	 * @param v   值
	 */
	public  void setV(SQLQuery q,int i,Object v){
		if(v instanceof String){
			q.setString(i, (String)v);
		}else if(v instanceof Integer){
			q.setInteger(i, (Integer)v);
		}else if(v instanceof Float){
			q.setFloat(i, (Float)v);
		}else if(v instanceof Double){
			q.setDouble(i, (Double)v);
		}else if(v instanceof Date){
			q.setDate(i, (Date)v);
		}else if(v instanceof java.sql.Date){
			q.setDate(i, (Date)v);
		}else if(v instanceof Boolean){
			q.setBoolean(i, (Boolean)v);
		}else if(v instanceof byte[]){
			q.setBinary(i, (byte[])v);
		}else if(v instanceof Byte){
			q.setByte(i, (Byte)v);
		}else if(v instanceof Calendar){
			q.setCalendar(i, (Calendar)v);
		}
	}
	
	/**
	 * 拼接sql字符串
	 * @param strSql 连接字符串 如 in(%s)
	 * @param sqlOne 实体字符串 如 select * user  可以是字符串也可以是sqlHandle
	 * @param type   连接类型   如 and,or
	 * @return 返回 如 and in(select * user)
	 */
	private static String addWhereSql(String strSql,Object sqlOne,String type){
		return  " "+type+" "+String.format(strSql, sqlOne)+" ";	
	}
	/**
	 * 添加多个sql参数值
	 * @param fsql  sql语句段   如 name=?
	 * @param type  sql连接类型  如 and
	 * @param v                 Object[]{"liming"} 如无值便为null
	 * @return
	 */
	public  sqlHandle AddMore(Object fsql,String type,Object[] v){
		if (list==null)
			list=new ArrayList<sqlHandle>();
		sqlHandle sql=new sqlHandle(fsql,type,v);
		list.add(sql);
		return this;
	}
	/**
	 * 添加0-1个sql参数
	 * @param fsql    sql语句段   如 name=?
	 * @param type    sql连接类型  如 and
	 * @param v       "liming" 如无值便为null
	 * @return
	 */
	public  sqlHandle Add(Object fsql,String type,Object v){
		AddMore( fsql, type,new Object[]{v});
		return this;
	}
	/**
	 * 添加多个sql参数值
	 * 多一共 strSql字符 有时我们需要 in(sql...) 这种情况。
	 * 我们可以通过设置 strSql=in(%s) fsql=sql... 这种形式来实现
	 * strSql默认为"%s"
	 * @param strSql  替代副
	 * @param fsql
	 * @param type
	 * @param v
	 * @return
	 */
	public  sqlHandle AddMoreAndRep(String strSql,Object fsql,String type,Object[] v){
		if (list==null)
			list=new ArrayList<sqlHandle>();
		sqlHandle sql=new sqlHandle(strSql,fsql,type,v);
		list.add(sql);
		return this;
	}
	/**
	 * 添加多个sql参数值
	 * 多一共 strSql字符 有时我们需要 in(sql...) 这种情况。
	 * 我们可以通过设置 strSql=in(%s) fsql=sql... 这种形式来实现
	 * strSql默认为"%s"
	 * @param strSql
	 * @param fsql
	 * @param type
	 * @param v
	 * @return
	 */
	public  sqlHandle AddAndRep(String strSql,Object fsql,String type,Object v){
		AddMoreAndRep(strSql, fsql, type,new Object[]{v});
		return this;
	}
	/**
	 * 生成自身sql语句
	 */
	public String toString(){
		String sql="";
		for (int i=0;i<list.size();i++) {
			sqlHandle sqlHandle = (sqlHandle) list.get(i);
			sql+=addWhereSql(sqlHandle.strSql,sqlHandle.fsql,sqlHandle.type);
		}
		return sql;
	}
}


view source
print ?
01 package com.sql.db;
02 /**
03  * sql拼接测试代码
04  * @author 梁前武
05  * www.apkplug.com
06  */
07 public class test {
08  
09     /**
10      * @param args
11      */
12     public static void main(String[] args) {
13          //1
14          sqlHandle sql1=new sqlHandle();
15          sql1.Add("select * from user where " ,"",null).
16          Add("name=?","""liling").
17          Add("age=?","and"10);
18          System.out.println(sql1);  
19          //select * from user where    name=?  and age=?
20          sql1.AddMore("LIMIT ?,?"""new Object[]{1,2});
21          System.out.println(sql1);
22          //select * from user where    name=?  and age=?   LIMIT ?,?
23           
24          //2
25          sqlHandle sql2=new sqlHandle();
26          sql2.Add("select * from friend where " ,"",null).
27          Add("myfriend=?","""liling");
28          System.out.println(sql2);
29          // select * from friend where    myfriend=?
30          sql1.AddMoreAndRep(" in(%s) ",sql2, "and"null);
31          System.out.println(sql1);
32          //select * from user where    name=?  and age=?   LIMIT ?,?  and 
33          //in(  select * from friend where    myfriend=? ) 
34          //很明显sqlHandle添加时的顺序很关键
35           
36     }
37  
38 }

SQL Server跟踪(Trace)--慢查询跟踪跟踪日志
橙-极纪元-JJYCheng
03-23 1729
SQL Server跟踪(Trace)--慢查询跟踪跟踪日志
sql性能优化:MS-SQL跟踪信息查看select * from ::fn_trace_gettable
橙-极纪元-JJYCheng
03-21 811
sql性能优化:MS-SQL跟踪信息查看select * from ::fn_trace_gettable
SQL2JAVA-java字段串代码拼接工具
11-12
一款方便将javasql语句互相转换的小工具,在日常工作开发中,非常实用,f方便写字符串拼接语句,常用选项是String和StringBuffer
SQL注入工具
点点的博客
06-26 6824
import cn.hutool.crypto.SecureUtil; import lombok.extern.slf4j.Slf4j; import javax.servlet.http.HttpServletRequest; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * sql注入处理工具类 */ @Slf4j public class SqlInjectionUtil { /** *
Java 中预 SQL 注入,从零基础到精通,收藏这篇就够了!
最新发布
A1_3_9_7的博客
07-10 998
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。
JavaSQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
SQL注入工具
hit、run
09-23 2158
package com.yxb.common.base.util; import org.apache.commons.lang.StringUtils; /** * SQL过滤 */ public class SQLFilter { /** * SQL注入过滤 * @param str 待验证的字符串 * @throws */ ...
java解决sql注入完整的工具
sunrj_niu的博客
08-06 2706
【代码】java解决sql注入完整的工具类。
SQL_Handle.rar_SQL HANDLE_SQLHANDLE
09-19
SQL(Structured Query Language)的学习过程中,`SQL_HANDLE` 和 `SQLHANDLE` 是两个重要的概念,尤其是在处理数据库连接和操作时。尽管它们看起来相似,但它们在实际使用中有着不同的含义和用途。 首先,让我们...
SQL Server跟踪(Trace)--阻塞跟踪日志
橙-极纪元-JJYCheng
03-22 1011
SQL Server跟踪(Trace)--阻塞跟踪日志
C++通过ODBC方式连接数据库SQLServer及增删查改操作示例.7z
06-15
4. **执行SQL语句**:使用`SQLAllocHandle`分配语句句柄,然后调用`SQLPrepare`预编译SQL语句,再调用`SQLExecute`执行。例如,插入数据的SQL语句可能是`INSERT INTO table_name (column1, column2) VALUES (?, ?)`...
SQL语句拼接工具,简化SQL语句拼写代码
04-15
针对不确定的查询参数,简化SQL语句的拼写代码。目前支持Oracl及MySql数据库
SQL参数化(SQL注入
05-29
在ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
JDBC中动态拼接SQL工具
03-31
JDBC中动态拼接SQL工具类。 对于使用纯SQL访问数据库的同学会有些帮助。 并具有一定的扩展性。
SQL拼接工具包API 支持Oracle/PostgreSQL/MySql
04-22
简化sql拼接过程,提升开发效率,减少拼接错误。 可以拼接select、update、delete语句以及where条件语句拼接where条件可自动组织参数并返回。 支持andEq(), andGt(), andGe(),andLt(), andLe(), andEqDate(), andEqTime(), andGtDate(), andGtTime(), andLtDate(), andLtTime, andLeDate(), andLeTime(), andGeDate(), andGeTime(),append(), add(), andOr(), orAnd()等方法。 更多方法支持具体见com.leewin.db.sql.builder.SqlBuilder类
sql操作工具sql注入
weixin_44522680的博客
03-01 359
sql注入,因为可能会在F12控制台那里,恶意拼接一些参数,所以要注入绕后。比如:在list分页查询的时候,根据某个属性进行排序,先检查字符,注入绕后。
sql注入检测工具
性感的杏鲍菇的专栏
09-20 1670
【代码】sql注入检测工具类。
javasql注入 转义_StringEscapeUtils的常用使用,SQL注入及XSS注入
weixin_30774211的博客
02-26 1807
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
SQL注入
guangyinglanshan的博客
11-20 356
我想告诉你的是一个简单的技术,可以有效地用于现代Web应用程序,比如在NodeJS和MongoDB上编写的应用程序。实质上,这种技术与SQL注入SQLI)非常相似,虽然简单得多,因为我们不必完成任何奇怪和复杂的字符串。 在我继续之前,我想说的是,虽然我在谈论NodeJS,但在下面的示例中,我使用ExpressJS,它是最受欢迎的节点Web框架,也是NodeJS社区中的事实标准。
C++获取sqlserver数据保存到字符串
02-21
需要注意ODBC API的使用方法,比如分配句柄、连接字符串、执行SQL语句、绑定列内存等。此外,错误处理非常重要,每个ODBC函数调用后都应该检查返回码,确保操作成功。 用户可能对ODBC不太熟悉,所以需要详细解释每...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值