Variable noms de colonne à l'aide de déclarations préparées à l'avance

Je me demandais si il y avait de toute façon à spécifier retourné les noms de colonnes à l'aide de déclarations préparées à l'avance.

Je suis de l'utilisation de MySQL et Java.

Quand je l'ai essayer:

String columnNames="d,e,f"; //Actually from the user...
String name = "some_table"; //From user...
String query = "SELECT a,b,c,? FROM " + name + " WHERE d=?";//...
stmt = conn.prepareStatement(query);
stmt.setString(1, columnNames);
stmt.setString(2, "x");

- Je obtenir ce type de déclaration (en cours d'impression à droite avant l'exécution).

SELECT a,b,c,'d,e,f' FROM some_table WHERE d='x'

Je voudrais voir cependant:

SELECT a,b,c,d,e,f FROM some_table WHERE d='x'

Je sais que je ne peux pas le faire pour les noms de table, tel que discuté
ici, mais je me demandais si il y avait moyen de le faire pour les noms de colonne.

Si il n'y est pas, alors, je vais juste essayer et assurez-vous que je désinfecter l'entrée afin de ne pas entraîner les vulnérabilités d'injection SQL.

InformationsquelleAutor KLee1 | 2010-06-28

32

Cela indique une mauvaise conception bd. L'utilisateur ne devrait pas besoin de connaître les noms de colonne. Créer un véritable DB colonne qui détient de ceux de la colonne "noms" et de stocker les données le long de la place.

À n'importe quel moyen, non, vous ne pouvez pas définir les noms de colonnes comme PreparedStatement valeurs. Vous ne pouvez régler la colonne valeurs comme PreparedStatement valeurs

Si vous souhaitez continuer dans cette direction, vous avez besoin de désinfecter les noms de colonnes et les concaténer/construire la chaîne SQL vous-même. Citation de le séparer les noms de colonnes et de l'utilisation String#replace() pour échapper à la même citation à l'intérieur de la colonne nom.
- Ainsi, l'utilisateur n'a pas besoin de connaître le nom des colonnes, mais les noms de colonnes nécessaires sont obtenus sur les formulaires soumis par l'utilisateur. C'est géré sur le côté client, si, si je voulais voir si il y avait une certaine façon de s'assurer de la sécurisation des données. Dois-je ensuite, il suffit de déplacer l'ensemble du lot pour le côté serveur, permettant ainsi d'assurer la colonne de données est intacte?
- Poignée sur le côté serveur à la place. Ne fait pas des affaires des trucs à côté client.
- impossible de définir les noms de colonnes comme PreparedStatement valeurs" - c'est complètement constitué. Utiliser des noms de colonnes à l'intérieur de la déclaration de la valeur-listes est bien sûr possible - mais cela ne veut pas dire qu'il doit être utilisé de cette façon, il est toujours de mauvaise conception.
- Je tiens à vous voir dynamiquement limite de champs pour une ressource donnée en REST JSON. Pas tout le monde veut l'ensemble de la ressource retournée, et pas tout le monde veut créer 1 000 requêtes pour chaque permutation de a dit colonnes.
- Qu'en dynamique de la commande pour une requête en utilisant la variable nom de la colonne? Serait-il considéré comme une mauvaise conception?
InformationsquelleAutor BalusC
15

Préparer une liste de noms de colonnes. Utiliser le "query" pour rechercher dans la liste blanche pour voir si le nom de la colonne est là. Sinon, rejeter la requête.

InformationsquelleAutor wgl
2

Je pense que ce cas ne peut pas fonctionner parce que le point de l'ensemble de l'instruction préparée est d'empêcher l'utilisateur de mettre en sans échappement requête bits - donc, vous allez toujours avoir le texte échappés.

Vous aurez besoin de stériliser cette entrée en Java si vous souhaitez affecter la structure de la requête en toute sécurité.
- Vous êtes à droite sur le "ça ne peut pas fonctionner". Cependant, la première raison pour PreparedStatement était à cause de l'efficacité des ressources, qui permet de garder une déclaration de mise en cache et de le soumettre à de multiples reprises, en changeant simplement les valeurs (grande, surtout pour OLTP). La résistance à la tentative d'Injection SQL est un très desiderable effet secondaire.
InformationsquelleAutor G__
0

Utiliser sql injection inconvénient de la Déclaration de l'Interface que l'avantage.
Ex:
```
st=conn.createStatement();
String columnName="name";
rs=st.executeQuery("select "+ columnName+" from ad_org ");
```
InformationsquelleAutor Syed Abdul Khaliq

public void MethodName(String strFieldName1, String strFieldName2, String strTableName)
{
//Code to connect with database
String strSQLQuery=String.format("select %s, %s from %s", strFieldName, strFieldName2, strTableName);
st=conn.createStatement();
rs=st.executeQuery(strSQLQuery);
//rest code
}

La question est de tirer profit de la preparedStatement(). Votre solution ne l'utilisez pas. Elle est sujette à l'injection sql.

InformationsquelleAutor Grbh Niti

-3

Ci-dessous est la solution en java.
```
String strSelectString = String.format("select %s, %s from %s", strFieldName, strFieldName2, strTableName);
```
- Votre réponse semble ok, mais vous devez décrire votre code ainsi
- Cette réponse conduit directement à une attaque par injection SQL.
- Oui c'est un exemple de code vulnérable, comme décrit ici : trouver-sec-bugs.github.io/bugs.htm#SQL_INJECTION_JPA
InformationsquelleAutor Grbh Niti

Vous devez vous connecter pour publier un commentaire.