防止sql注入的【特殊需求】

一路奔跑1314 2018-11-15 09:44:00
要求:表名是在代码中根据当前年份和月份拼接而成,比如今天是2018-11-15,那么表名是tab201811,下一个月表名就是tab201812.
在写sql语句时,需要把表名拼接到sql中。比如strSql = "insert into "insert into " + tabName + "(id,name) values (?,?)"
但是项目安全测试时检查有sql注入。
各位大家是怎么解决的??
在线等?
我能想到其中一个办法是把表名存到一个表里,然后把读取表的sql放到tabname处。
还有什么其他好的解决方案么???
...全文
64 2 打赏 收藏 转发到动态 举报
写回复
用AI写文章
2 条回复
切换为时间正序
请发表友善的回复…
发表回复
一路奔跑1314 2018-11-15
  • 打赏
  • 举报
 回复
利用stringbuffer拼接sql,有效解决了sql注入问题
一路奔跑1314 2018-11-15
  • 打赏
  • 举报
 回复
这个问题自己已解决
JAVA代码审计之SQL注入
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
C#防止SQL注入的方法及源代码实现
在使用C#开发数据库应用程序时,防止SQL注入是非常重要的。SQL注入攻击是一种常见的网络安全威胁,攻击者通过在输入数据中插入恶意的SQL代码,来利用应用程序对数据库的不当访问,进而达到窃取、篡改或破坏数据的目的。然而,也应该注意,安全是一个持续的过程,除了前端的防护措施,还需要后端的安全控制和合理的权限管理,以确保数据的安全性。请注意,以上代码仅为示例,请根据项目实际情况进行适当的修改和调整,以满足您的具体需求防止SQL注入攻击是一项非常重要的任务,希望以上内容对您有所帮助。
避免sql注入的方法
1、使用预处理 PreparedStatement mybatis防止sql注入: # 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。 $ 将传入的数据直接将参数拼接在sql中。 #与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理。 2、使用正则表达式过滤掉字符中的特殊字符 即对你参数进行合理教研,避免sql拼接恶意脚本。 ...
什么是预处理?防SQL注入的原理?使用预处理防止被恶意注入
⭐ 前言 ⭐本篇文章主要介绍什么是预处理?防sql注入的原理?使用预处理防止SQL被恶意注入简单知识以及部分理论知识 SQL注入是指攻击者通过在Web应用程序中注入恶意SQL代码,从而导致数据库执行恶意的SQL语句。为了防止SQL注入,可以采用以下原理: 在以上示例中,使用了 ' 任意值 ' or '1'='1' 的方法恶意注入SQL语句,恶意用户输入 '任意值' or '1'='1',进行对SQL语句注入 从而影响最终结果。
什么是sql注入,如何防止sql注入
什么是sql注入 一:如何理解sql注入sql注入是一种将sql代码添加到输入参数中,传递到sql服务器解析并执行的一种攻击手法 示例: 本地一段代码为get获取id值,输出实际执行sql以及查询id对应内容。 当id值传为1时,执行结果如下: 这是正常请求情况,而当我们往id传的参数中注入sql代码时,便可以根据自己需求查询自己想要获取的内...
Java

50,545

社区成员

85,620

社区内容

发帖
与我相关
我的任务
社区描述
Java相关技术讨论
javaspring bootspring cloud 技术论坛(原bbs)
社区管理员
  • Java相关社区
  • 小虚竹
  • 谙忆
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章