JDBI 如何动态创建 WHERE 子句同时防止 SQL 注入？

2023-11-21

我想动态过滤 JDBI 查询。

参数列表通过 REST 从 UI 传递，例如

http://localhost/things?foo=bar&baz=taz
http://localhost/things?foo=buz

它（笨拙地）构建为（Jersey @Context UriInfo::getQueryParameters -> StringBuilder），如下所示：

WHERE foo=bar AND baz=taz

并传递给 JDBI，如下所示：

@UseStringTemplate3StatementLocator
public interface ThingDAO {
   @SqlQuery("SELECT * FROM things <where>)
   List<Thing> findThingsWhere(@Define("where") String where);
}

据我了解，当前的实现很容易受到 SQL 注入的攻击。显然我可以清理列名，但不能清理值。1

必须有一种更优雅且防 SQL 注入的方法来执行此操作。

灵感来自让·伯纳德我想出了这个：

public class WhereClause {
    public HashMap<String, String> queryValues; // [<"foo","bar">, <"baz","taz">]
    public String preparedString; // "WHERE foo=:foo AND bar=:baz"
}

通过自定义 Binder 绑定BindWhereClause:

@BindingAnnotation(BindWhereClause.WhereClauseBinderFactory.class)
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.PARAMETER})
public @interface BindWhereClause {
    class WhereClauseBinderFactory implements BinderFactory {
        public Binder build(Annotation annotation) {
            return new Binder<BindWhereClause, WhereClause>() {
                public void bind(SQLStatement q, BindWhereClause bind, WhereClause clause) {
                    clause.queryValues
                            .keySet()
                            .forEach(s -> q.bind(s, clause.queryValues.get(s)));
                }
            };
        }
    }
}

和一个组合@Define and @Bind:

@UseStringTemplate3StatementLocator
public interface ThingDAO {
   @SqlQuery("SELECT * FROM things <where>")
   List<Thing> findThingsWhere(@Define("where") String where, 
                               @BindWhereClause() WhereClause whereClause);
}

这应该是防注入的。（是吗？）

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

REST

dropwizard

jdbi

JDBI 如何动态创建 WHERE 子句同时防止 SQL 注入？的相关文章

使用 Tabula 通过 Python 读取 pdf 时出现 Java 错误

我已经安装了 tabula 库用于使用 python 将 pdf 读取到 pandas 数据框中但是当我运行代码时 import tabula df tabula read pdf sample1 pdf pages 1 我得到了例外
TreeMap 删除所有大于某个键的键

在项目中我需要删除键值大于某个键的所有对象键类型为Date 如果重要的话据我所知TreeMapJava中实现的是红黑树它是一种二叉搜索树所以我应该得到O n 删除子树时但除了制作尾部视图并一一删除之外我找不到任何方法可以做到这
如何在java中将数组值排序为循环格式？

我的数组值如下 String value 1 2 3 4 5 6 7 8 9 10 假设如果我将值 5 传递给 tat 数组它应该按如下顺序排序 5 6 7 8 9 10 1 2 3 4 怎么办有人帮忙吗感谢你你需要的就是所谓的轮换
eclipse行号状态行贡献项是如何实现的？

我需要更新状态行编辑器特定的信息我已经有了自己的实现但我想看看 eclipse 贡献项是如何实现的它显示状态行中的行号列位置谁能指点一下哪里可以找到源代码提前致谢亚历克斯 G 我一直在研究它它非常复杂我不确定我是否了解完
Java 的支持向量机？

我想用Java编写一个智能监视器它可以随时发出警报detects即将到来的性能问题我的 Java 应用程序正在以结构化格式将数据写入日志文件
如何调试“com.android.okhttp”

在android kitkat中 URLConnection的实现已经被OkHttp取代如何调试呢 OkHttp 位于此目录中 external okhttp android main java com squareup okhttp 当
将巨大的模式编译成Java

有两个主要工具提供了将 XSD 模式编译为 Java 的方法 xmlbeans 和 JAXB 问题是 XSD 模式确实很大 30MB 的 XML 文件大部分模式在我的项目中没有使用所以我可以注释掉大部分代码但这不是一个好的解决方案目
如何检查某个元素是否存在于一组项目中？

In an ifJava中的语句如何检查一个对象是否存在于一组项目中例如在这种情况下我需要验证水果是苹果橙子还是香蕉 if fruitname in APPLE ORANGES GRAPES Do something 这是一件非常微
将非 Android 项目添加到 Android 项目

我在 Eclipse 中有三个项目 Base Server 和 AndroidClient Base和Server是Java 1 7项目而AndroidClient显然是一个android项目基础项目具有在服务器和 Android 客户
如何在字段值无效的情况下更改 Struts2 验证错误消息？

我在 Web 表单上使用 Struts2 验证如果字段假设为整数或日期则
从jar中获取资源

我有包含文件的 jar myJar res endingRule txt myJar wordcalculator merger Marge class 在 Marge java 中我有代码 private static final Str
如何使用 JMagick 转换色彩空间？

如何使用 JMagick API 转换色彩空间例如 CMYK gt RGB 和 RGB gt CMYK None
如何区分从 Saxon XPathSelector 返回的属性节点和元素节点

给定 XML
轻松的反应

我有一个与这里描述的类似的案例动态更改RESTEasy服务返回类型 https stackoverflow com questions 3786781 dynamically change resteasy service return
将 JavaFX FXML 对象分组在一起

非常具有描述性和信息性的答案将从我这里获得价值 50 声望的赏金我正在 JavaFX 中开发一个应用程序对于视图我使用 FXML
Ruby on Rails REST 设计问题 - 在账户之间转账

我有一个 Account 类想要实现转账屏幕以允许用户在 2 个账户之间转账我将如何实现这种 RESTful 方式我有标准帐户和休息操作那很好但我该如何实现转移呢通常我只会向帐户控制器和相应的视图添加一个名为 transfer
在java中以原子方式获取多个锁

我有以下代码注意为了可读性我尽可能简化了代码如果我忘记了任何关键部分请告诉我 public class User private Relations relations public User relations new Rela
瞬态 REST 表示

假设我有一个 RESTful 超文本驱动的服务用于模拟冰淇淋店为了帮助更好地管理我的商店我希望能够显示每日报告列出所售每种冰淇淋的数量和美元价值看来这种报告功能可以作为名为 DailyReport 的资源公开 DailyRepor
Android View Canvas onDraw 未执行

我目前正在开发一个自定义视图它在画布上绘制一些图块这些图块是从多个文件加载的并将在需要时加载它们将由 AsyncTask 加载如果它们已经加载它们只会被绘制在画布上这工作正常如果加载了这些图片 AsyncTask 就会触发v
Java 11 - 将 Spring @PostConstruct 替换为 afterPropertiesSet 或使用 initMethod

我正在使用 spring 应用程序有时会使用 PostConstruct用于代码和测试中的设置看来注释将被排除在外Java 11 https www baeldung com spring postconstruct predestro

随机推荐

在不使用HttpClient的情况下将处理后的JSP内容获取到spring控制器中？

所以通常在 Spring 控制器中你只需返回一个ModelAndView对象并将请求转发到 JSP 我需要做的实际上是获取已处理的 JSP 的内容这样我就可以在 JSONP 响应中发送它例如 callback processed HTM
如何控制哪些用户可以解密 SQL Server 对称密钥加密

我正在考虑加密 SQL Server 中的一些敏感数据例如银行帐号和社会安全号码以便遵守新的州法律我使用 SQL Server 2008 作为带有 NET 代码的数据库我已经使用 NET 来加密密码但为此我正在考虑使用 Micro
具有归一化数据的 tanh 错误饱和度的神经网络

我使用的神经网络由 4 个输入神经元组成 1 个由 20 个神经元组成的隐藏层和 7 个神经元输出层我正在尝试将其训练为 bcd 到 7 段算法我的数据已标准化 0 为 1 1 为 1 当输出错误评估发生时神经元会错误饱和如果期望的
自动释放范围

我想知道 autorelese 在 iPhone 上是如何工作的我认为一旦你向对象发送自动释放这是有保证的保留在块的范围结束之前autorelease寄了送了那是对的吗我正在从 NIB 中初始化一个视图applicationDidF
Java：按长度排序单词列表，然后按字母顺序排序

有人告诉我有一个按长度排序的单词列表并且那些具有相同长度的单词按字母顺序排序这就是迄今为止我所拥有的实现这一点的方法 public static void doIt BufferedReader r PrintWriter w thro
iOS 版 Google 地图 API 的 API 密钥异常

我正在使用适用于 IOS 的 Google 地图 API 开发 iOS 应用程序我为我的项目安装了 CocoaPod 并根据 Google Developer 上的教程进行配置但是当我运行我的项目时它说由于未捕获的异常 GMSSe
通过 ARM 创建与 Azure 表存储的 API 连接

我正在尝试通过 ARM 模板将 API 连接部署到表格存储但下面的模板返回错误输入参数无效请参阅详细信息以获取更多信息详细信息错误代码参数未定义消息连接上不允许使用参数 accountKey 因为注册 API 时未将其定义为
是否可以创建固定大小的过剩窗口？

是否可以使用 glut 创建固定大小的窗口因此窗口尺寸的任何更改都将被忽略对我来说切换回 SDL 或类似的东西有点太晚了显然这是不可能以合法的方式但你可以使用glutReshapeWindow在你的里面glutReshapeFun
SQLContext 隐式

我正在学习 Spark 和 scala 我很精通java 但不太懂scala 我正在阅读关于 Spark 的教程并遇到了以下代码行该代码行尚未解释 val sqlContext new org apache spark sql SQLC
如何消除此错误：“整数文字太大，无法用有符号整数类型表示”

我有一份 C 语言的学校作业我将用以下标志进行纠正 Wall Wextra Werror 所以这个无害的警告变成了一个错误并阻止编译 integer literal is too large to be represented in a
ActiveRecord Arel OR 条件

如何使用逻辑或而不是与来组合 2 个不同的条件 NOTE 2 个条件是作为 Rails 范围生成的并且不能轻易更改为类似的内容where x or y 直接地简单的例子 admins User where kind gt adm
Xunit 为每个新测试创建 Test 类的新实例（使用 WebDriver 和 C#）

有没有办法使用Webdriver Selenium 使用Xunit在同一浏览器中运行多个测试目前xunit为每个新测试启动新的浏览器下面是示例代码 public class Class1 private FirefoxDriver dr
无法使用 pypy 安装 scipy （g++ 构建错误）

截至 2020 年可以使用 pypy 安装 scipy pypy下可以安装scipy吗 pypy3 mpip install scipy 然而轮子因这种错误而失败 error Command g pthread DNDEBUG O2 f
从Python中的字符串中删除控制字符

我目前有以下代码 def removeControlCharacters line i 0 for c in line if c lt chr 32 line line i 1 line i 1 i 1 return line 如果要删除多
如何在 Spark 中设置 Parquet 文件编码

Parquet 文档描述了几种不同的编码here 它在读写过程中是否会在文件内部发生某种变化或者我可以设置它 Spark 文档中没有任何相关内容只找到slides摘自 Netflix 团队 Ryan Blue 的演讲他将 parqu
C++ 中的 const 和 static 说明符

include
如何在 VB NET 中将方法名称作为过程的参数传递

我想创建一个过程它的参数也是一个过程是否可以我创建了一些用作以下参数的过程 Private Sub Jump xStr as string Msgbox xStr is jumping End Sub Private Sub Run
Mysql group_concat 重复键和1次查询中多列重复次数（查询优化）

这个问题是关于查询优化以避免通过 PHP 多次调用数据库所以这是场景我有两个表一个包含您可以将其称为参考表的信息另一个是数据表字段key1 and key2这两个表都是通用的根据这些字段我们可以将它们连接起来我不知道查询是否
[NSUserDefaults standardUserDefaults] 的持久性如何？

我使用 NSUserDefaults standardUserDefaults 来存储应用程序设置我的问题是删除应用程序时这些设置会被删除吗应用程序更新后是否保留它们通过应用商店因为我用它来存储密码并且不希望我的用户在每次更新
JDBI 如何动态创建 WHERE 子句同时防止 SQL 注入？

我想动态过滤 JDBI 查询参数列表通过 REST 从 UI 传递例如 http localhost things foo bar baz taz http localhost things foo buz 它笨拙地构建为 Jers

JDBI 如何动态创建 WHERE 子句同时防止 SQL 注入？

JDBI 如何动态创建 WHERE 子句同时防止 SQL 注入？ 的相关文章

随机推荐

热门标签

JDBI 如何动态创建 WHERE 子句同时防止 SQL 注入？的相关文章