sql注入 代码直接用参数拼接sql,导致和union、=等恶意sql拼接成为非法sql,导致返回敏感数据或者返回成功 措施 参数进行base64编码 参数化查询 使用存储过程 stack overflow C、C++中,可以通过指针、scanf等内存操作直接操作内存,因此如果不做参数检查,就有可能 ...
分类:
Web程序 时间:
2019-09-28 17:49:36
阅读次数:
122
一、select查询语句 1.mybatis的映射,jdbc预处理 这是一个简单的select查询,符号#{id},告诉mybatis创建一个预处理语句参数,通过JDBC,这个参数在SQL拼接中会有一个?来标识,并被传到一个新的预处理语句中,就比如下面的例子。 这样很多的JDBC预处理在底层实现,帮 ...
分类:
其他好文 时间:
2019-08-29 23:19:52
阅读次数:
120
1 import java.util.Iterator; 2 import java.util.Map; 3 import java.util.Set; 4 5 public class SQLUtil { 6 public static String sqlSelect = ""; 7 8 pub... ...
分类:
数据库 时间:
2019-08-09 19:24:09
阅读次数:
160
公司业务要求,需要对一批数据大批量地进行动态行转列之后进行分析,而pivot 函数in中不能使用子查询,有个方法是说可以通过动态sql拼接的方法实现, 在网上找了很久之后没找到具体的方法,就自己去摸索实现了。具体方法如下。 因为需要实现的是动态行转列,所以需要先用wm_concat(distinct ...
分类:
数据库 时间:
2019-07-23 13:37:35
阅读次数:
450
对于一些复杂的查询,我们可能会指定多个查询条件,但是这些条件可能存在也可能不存在,例如在58同城上面找房子,我们可能会指定面积、楼层和所在位置来查找房源,也可能会指定面积、价格、户型和所在位置来查找房源,此时就需要根据用户指定的条件动态生成SQL语句。如果不使用持久层框架我们可能需要自己拼装SQL语... ...
分类:
数据库 时间:
2019-06-12 01:07:14
阅读次数:
115
今天操作数据库的时候,有一个需求是我需要增加一个字段是其中俩个字段想加在加上USER_ 成为USER_009-111kefu0Zre这样的数据, 这样加上concat()加上想要的值得字段就好 update reserveorder set SHOPCODE = CONCAT('USER_', ol ...
分类:
数据库 时间:
2019-05-11 19:51:30
阅读次数:
163
1. SQL注入 虽然现在SQL注入发生的情况总的来说越来越少,还是提二句。关于什么是SQL注入大家都知道就不多说了。 1.1 原理 我们在做前端页面的时候,少不了会又各种输入框,然后通过GET或者POST发送至后端。 那么如果后端在处理时直接使用SQL拼接的话就会产生问题。 1.2 防范手段 1. ...
分类:
Web程序 时间:
2019-02-19 01:12:54
阅读次数:
229
阅读目录 介绍 多表连接查询 符合条件连接查询 子查询 一 介绍 本节主题 多表连接查询 复合条件连接查询 子查询 首先说一下,我们写项目一般都会建一个数据库,那数据库里面是不是存了好多张表啊,不可能把所有的数据都放到一张表里面,肯定要分表来存数据,这样节省空间,数据的组织结构更清晰,解耦和程度更高 ...
分类:
数据库 时间:
2019-01-20 18:54:29
阅读次数:
161
Mybatis整体架构视图: 接 口 层 SqlSession (定义了Mybatis暴露给应用程序调用的API) 核 心 处 理 层 配置解析 (加载核心配置、映射配置、 mapper接口注解信息, 解析后形成的对象 保存至Configuration对象) SQL解析 (动态sql拼接) SQL执 ...
分类:
其他好文 时间:
2019-01-17 15:08:22
阅读次数:
142
前言:在MySQL中CONCAT()函数用于将多个字符串连接成一个字符串,利用此函数我们可以将原来一步无法得到的sql拼接出来,在工作中也许会方便很多,下面主要介绍下几个常用的场景。注:适用于5.7版本低版本可能稍许不同。1.拼接查询所有用户SELECTDISTINCTCONCAT(‘User:\‘‘,USER,‘\‘@\‘‘,HOST,‘\‘;‘)ASQUERYFROMmysql.USER;#当
分类:
数据库 时间:
2018-12-26 16:55:31
阅读次数:
227
