- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
这怎么是重复的,因为我在这里专门询问 JOOQ?
我在 JAVA 项目中使用 JOOQ 来处理所有 PostgreSQL 查询。我读到this文章介绍了 JOOQ 使用准备好的语句来执行所有查询。
是否可以安全地假设我在执行查询时不需要担心 SQL 注入(inject)或用户输入?
我不需要担心在将用户输入交给 JOOQ 之前对其进行转义吗?
顺便说一句,我的数据库在获取用户输入时还存在哪些其他漏洞(除了通过准备好的语句解决的漏洞),我应该小心?
最佳答案
1) 可以,只要您正确使用提供的 API。但仍然可以注入(inject)普通的 sql 查询,所以要小心。
All methods in the jOOQ API that allow for plain (unescaped, untreated) SQL contain a warning message in their relevant Javadoc
// This query will use bind values, internally.
create.fetch("SELECT * FROM BOOK WHERE ID = ? AND TITLE = ?", 5, "Animal Farm");
// This query will not use bind values, internally.
create.fetch("SELECT * FROM BOOK WHERE ID = 5 AND TITLE = 'Animal Farm'");
请参阅此处的 JOOQ 文档以获取更深入的解释:https://www.jooq.org/doc/3.9/manual/sql-building/bind-values/sql-injection/
2)不,见上文。
3)除此之外,请注意一般数据库安全问题,例如用户身份验证/角色以及以未加密格式存储敏感数据等
关于java - 使用JOOQ,我还需要什么来防止sql注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47183032/
我已经从 MySQL 表生成了 java 模型文件。但是现在我们正在切换到 PostgreSQL,我需要一切才能在那里工作。所以我为 PostgreSQL 配置创建了一个新的 jooq.propert
在 mysql 数据库中,我有一个字段名称 date 类型 date 该字段的值如下2019-11-05 如何在jooq中查询上面提到的日期 我试着跟随 java.util.Date date = S
我正在调查一个问题,我们看到与 jooq 相关的奇怪异常试图填充生成的 Record 类,它在其中获取数据类型错误,因为它使用 java.sql.ResultSet::getXXX(int)(基于列索
我一直在寻找一种在 jOOQ 中实现以下查询的方法,但找不到任何东西。 SELECT * FROM tableName WHERE 'this is a string' LIKE CONCAT(
我一直在寻找一种在 jOOQ 中实现以下查询的方法,但找不到任何东西。 SELECT * FROM tableName WHERE 'this is a string' LIKE CONCAT(
我有一个使用gradle-jooq-plugin-3.0.1、jooq-3.11.2 和 Spring Boot 1 的项目。当我尝试生成 JOOQ 文件时我收到以下错误消息: > Task :gen
我刚刚尝试将我的项目升级到 Java 15,现在出现以下错误: both interface org.jooq.Record in org.jooq and class java.lang.Rec
我很好奇 jOOQ 是否可以与 Quarkus 一起工作,所以我创建了一个 Gradle 项目。我收到此构建错误: Caused by: io.quarkus.creator.AppCreatorEx
来自 fetchNext(int number) 的文档 -“在获取最后一条记录后,这将方便地关闭游标。” 假设number=100,一共有1000条记录。它会在获取第 100 条记录后关闭游标,还是
在我们的项目中,概念是在配置文件中定义的。举个例子: ... ... 虽然这与 SQL 没有太大关系,但这个配置文件恰好可以映射到 S
我在我的 java gradle 项目中找到一个有效的 JOOQ 插件或其配置为最新的 JOOQ 库时遇到问题。 我找到了以下插件: https://github.com/jOOQ/jOOQ/tree
我得到了一个使用 gradle (v2.1.0) 和 jooq (v3.8.1) 生成类文件的 Ratpack 应用程序。 这是我的 build.gradle 文件: buildscript {
我有一个界面 public interface HistoryDao, H extends UpdatableRecord> extends TableDao{ default void sa
我正在使用 jOOQ 生成针对 Athena(又名 PrestoDB/Trino)运行的查询 为此,我使用了 SQLDialects.DEFAULT,它之所以有效,是因为我使用了非常基本的查询功能。
如何在jooq的查询中绑定(bind)一个数组作为参数? 这是我添加名为“someIds”的命名参数的地方 Query query = selectJoinStep.where(field("
我有一个多模块 maven 项目,我正在实现一个 ant 任务以直接从 jpa 生成 jooq 类 实体。 这些是我引用的教程: Code generation with Ant Code gener
我想在 JOOQ 中实现一个基本的 time_bucket 语句。 如果我在控制台中运行此语句,它运行得非常好: SELECT time_bucket('5 minutes', time) as t,
我关于在 jooq dsl 中编写查询的问题。 我在 Oracle 数据库中存储了一些客户端属性列表。 表结构如下: CLIENT_ATTRIBUTE_DICT (ID、CODE、DEFAULT_VA
我很惊讶地发现 JOOQ(从 3.16 开始)将时间戳绑定(bind)到 LocalDateTime。在我看来,时间戳最自然地映射到一个 Instant,它是一个 Unix 纪元时间戳。 那么我们怎样
你好,我正在方法中执行此操作 public void update(Table table, String tableName){ ArrayList firstRowInDslFormat
我是一名优秀的程序员,十分优秀!