Tag: 业务对象

在Java中转义SQL字符串

背景： 我目前正在为企业CMS数据库（Business Objects）开发Java前端。 目前，我正在构建一个function，允许用户构建自定义数据库查询。 我已经实施了一些措施来确保用户只能使用已批准用户访问的可用列和运算符的子集进行选择（例如，可以选择SI_EMAIL_ADDRESS，而不能使用更强大的字段，如SI_CUID）。 到目前为止，事情一直在流行，但现在是时候保护这个function免受潜在的SQL注入攻击。 问题： 我正在寻找一种方法来逃避用户输入字符串。 我已经看过PerparedStatement，但是我被迫使用第三方API来访问数据库。 这些API对我来说是不可变的，直接的数据库访问是不可能的。 各个方法使用表示要运行的查询的字符串，从而使PreparedStatement无效（据我所知，必须针对直接数据库连接运行）。 我考虑过使用String.replace（），但如果可能的话我不想重新发明轮子。 此外，我与开发PerparedStatement的安全专家相去甚远。 我还查看了PerparedStatement的Java API参考，希望找到某种toString（）方法。 唉，我一直找不到那种东西。 任何帮助是极大的赞赏。 先谢谢你。 参考文献： Java – 转义字符串以防止SQL注入 Java的等效PHP的mysql_real_escape_string（）