个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
这两个功能是否都经过 sanitizer /安全以防止 SQL 注入(inject)?例如,考虑以下情况:
@SqlUpdate("INSERT INTO <tableName> (<columns>) VALUES (<values>)")
public abstract void addRowToDataset(@Define("tableName") String tableName, @Define("columns") String columns, @BindIn("values") Collection<Object> values);
@define从字面上将字符串按原样插入到查询中,但
@bind进行 sanitizer 。所以如果我们控制
columns和表名
parameters并且只有
values参数是用户输入,那么我们应该没问题。
最佳答案
我遇到了同样的问题,发现答案出奇地难以找到。一位同事告诉我,这只是编程一代之前的常识,所以随着软件的发展,它的文档可能被遗忘了。
事实上,甲骨文的Binding and Defining起初看起来很有希望,但完全是误导,因为它的“定义”是指设置引用来检索结果,这在 JDBI 中根本不是这个意思。
如果我的同事是对的,这就是他们的实际意思:
@Define用于常量,并插入格式 <field> . @Bind用于变量,并插入格式 :field (“命名参数”)。你是对的:绑定(bind)的副作用是会发生 sanitizer 。 @BindIn用于列表,并插入格式 (element IN (<field>)) .元素也经过 sanitizer 。 <field>
@Bind 的格式参数,这导致插值始终为空字符串。
关于JDBI - JDBI 中的@define 和@bind 有什么区别?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41620956/
24
4
0
我希望 JDBI 将自动生成的主键(Long 值)转换为另一个类。 我的 DAO: @RegisterMapper(SystemIdMapper.class) public interface Sys
这两个功能是否都经过 sanitizer /安全以防止 SQL 注入(inject)?例如,考虑以下情况: @SqlUpdate("INSERT INTO () VALUES ()") pu
您如何将 dropwizard jdbi 2.78 升级到 jdbi 版本 3,因为我想使用其中包含的连接功能。 最佳答案 项目成员在这里。 我们将在 v3 最终版本之前发布更完整的迁移指南。与此同时
当我尝试执行下面的代码时, 我收到 UnableToCreateStatementException 异常,原因如下: java.sql.SQLException:参数索引超出范围(11 > 参数数量
我正在使用 dropwizard,我想构建一个在实体中具有各种外键关系的 REST 应用程序。 例如,给出以下 3 个表: -- table persons CREATE TABLE PUBLIC.P
我使用 jdbi inTransaction() 函数将 SQL 查询作为事务执行。我想知道内部如何/使用什么类型的锁定机制。另外,事务期间是锁定整个表还是只锁定需要更新的记录? 最佳答案 事务纯粹在
final MyDAO dao = database.onDemand(MyDAO.class); dao 实例可以重用吗?或者我们是否需要在每次使用时实例化它? 从代码来看,它似乎负责维护数据库事务
我在将JDBI仅插入列表中的第一项时遇到问题 data class UserResourceRow( val userId: UserId, val roleId: R
我收到没有可用于 com.google.common.base.Optional 的容器构建器错误。 这是更完整的堆栈跟踪: java.lang.IllegalStateException: No c
我有一个 POJO,其中包含一个内部(非静态)类,因为它共享父级 id public Long getId() { return Parent.this.getId(); } 现在我尝试在 JD
我正在使用 JDBI 通过流迭代结果集。目前,当结果中存在同名列时,mapToMap 会导致问题。我需要的只是没有列名称的值。 有没有办法将结果映射到对象列表/数组?该文档没有这方面的示例。我想要类似
我有以下类(class): public class User { private int id; private String name; private List comm
选择 JPA 和 Spring-Data 的替代方案,我想尝试使用 JDBI 使用 SQLite 实现我的存储库 存储库代码 /** * SQLite implementation of Foo
我想将查询命令放入 sql 文件中,然后使用 createStatement 从文件中读取查询并进行绑定(bind)。 执行 h.createStatement("SOME LONG QUERY AN
我正在尝试使用这样的方法在我的类中创建一个表某物: void createTab() { DBI dbi = new DBI(DBURL, DBUSER, DBPASS); BindExamples
我正在使用 JDBI 将一些数据插入到带有自动递增主键的 mysql 表中。我使用索引来进行插入。代码如下所示: public void insertWorkout(String[] values)
我正在评估 JDBI 作为 Spring JDBC 和 MyBatis 的可能替代品,但遇到了一些问题。我在 Spring Boot 1.2.5 和 Spring 4 中使用 JDBI。 我得到以下堆
我之前曾将 JDBI 用于 Java 持久性方面,但它始终是流畅的 API 而不是对象 API。立即试用对象 API。 我有一个非常简单的 DAO 对象: public interface Perso
1) 是否可以为 Dropwizard 的 JDBI mysql 连接器设置 queryTimout 的 global 值?默认值是多少?我不想在每个 DAO 中都使用@QueryTimeOut。 2
我有一个 Java 应用程序,它使用 JDBI 作为我的数据库代码。我有许多 DAO,它们大致使用以下结构进行查询: return handle.createQuery(sql)
我是一名优秀的程序员,十分优秀!