方案一:使用JDBC API中提供的Statement接口的execute()方法

要在Java中校验SQL语句的合法性,可以使用JDBC API中提供的Statement接口的execute()方法。这个方法会尝试执行给定的SQL语句,如果SQL语句不合法,则会抛出一个SQLException异常。因此,我们可以利用这个异常来判断SQL语句的合法性。

以下是一个简单的示例代码:

import java.sql.*;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password");

            Statement stmt = conn.createStatement();

            stmt.execute(sql);

            return true;

        } catch (SQLException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // false

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,validateSQL()方法接受一个SQL语句作为参数,然后尝试执行这个SQL语句。如果执行成功,返回true,否则返回false。在main()方法中,我们调用了validateSQL()方法来校验三个SQL语句的合法性,并打印了结果。

需要注意的是,这个方法只能判断SQL语句的语法是否合法,而无法判断SQL语句的语义是否合法。因此,如果应用程序允许用户输入SQL语句,一定要进行严格的输入校验和过滤,避免SQL注入攻击。

方案二:使用JSqlParser这个Java库

如果你不希望实际执行SQL语句,而只是想校验SQL语句的合法性,可以使用JSqlParser这个Java库。这个库可以将SQL语句解析成Java对象,然后你可以对这些Java对象进行检查,以判断SQL语句是否合法。

以下是一个简单的示例代码:

import net.sf.jsqlparser.JSQLParserException;

import net.sf.jsqlparser.parser.CCJSqlParserUtil;

import net.sf.jsqlparser.statement.Statement;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Statement stmt = CCJSqlParserUtil.parse(sql);

            return true;

        } catch (JSQLParserException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,validateSQL()方法使用JSqlParser库将SQL语句解析成Java对象。如果解析成功,返回true,否则返回false。在main()方法中,我们调用了validateSQL()方法来校验三个SQL语句的合法性,并打印了结果。

需要注意的是,JSqlParser库只能检查SQL语句的语法是否合法,而无法检查SQL语句的语义是否合法。因此,同样需要进行严格的输入校验和过滤,避免SQL注入攻击。

方案三:使用正则表达式检查SQL语句的格式是否正确

使用正则表达式检查SQL语句的格式是否正确。例如,可以检查SQL语句是否以SELECT、UPDATE、DELETE、INSERT等关键字开头,是否包含必需的关键字和语法元素等。

import java.util.regex.Pattern;

public class SQLValidator {

    private static final String SELECT_PATTERN = "^\\s*SELECT.*";

    private static final String UPDATE_PATTERN = "^\\s*UPDATE.*";

    private static final String DELETE_PATTERN = "^\\s*DELETE.*";

    private static final String INSERT_PATTERN = "^\\s*INSERT.*";

    public static boolean validateSQL(String sql) {

        if (Pattern.matches(SELECT_PATTERN, sql)) {

            // 校验SELECT语句的合法性

            return true;

        } else if (Pattern.matches(UPDATE_PATTERN, sql)) {

            // 校验UPDATE语句的合法性

            return true;

        } else if (Pattern.matches(DELETE_PATTERN, sql)) {

            // 校验DELETE语句的合法性

            return true;

        } else if (Pattern.matches(INSERT_PATTERN, sql)) {

            // 校验INSERT语句的合法性

            return true;

        } else {

            // SQL语句格式不正确

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

方案四:使用ANTLR等工具生成SQL语法解析器,然后使用生成的解析器解析SQL语句,以判断SQL语句的合法性

ANTLR是一种流行的解析器生成器,可以根据定义的语法规则生成解析器。

以下是一个简单的示例代码:

import org.antlr.v4.runtime.*;

import org.antlr.v4.runtime.tree.*;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            CharStream input = CharStreams.fromString(sql);

            SQLLexer lexer = new SQLLexer(input);

            CommonTokenStream tokens = new CommonTokenStream(lexer);

            SQLParser parser = new SQLParser(tokens);

            ParseTree tree = parser.statement();

            return true;

        } catch (Exception e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,我们使用ANTLR生成了一个SQL语法解析器,并在validateSQL()方法中使用这个解析器来解析SQL语句。如果解析成功,则说明SQL语句格式正确,返回true,否则返回false。

方案五:使用Apache Calcite等SQL解析器库来解析SQL语句

Apache Calcite是一个强大的SQL解析器和优化器,它支持大多数SQL语法,并能够将SQL语句解析为抽象语法树(AST)。

以下是一个简单的示例代码:

import org.apache.calcite.sql.SqlNode;

import org.apache.calcite.sql.parser.SqlParseException;

import org.apache.calcite.sql.parser.SqlParser;

import org.apache.calcite.sql.parser.SqlParser.Config;

import org.apache.calcite.sql.parser.SqlParserImplFactory;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Config config = SqlParser.config();

            SqlParserImplFactory factory = config.parserFactory();

            SqlParser parser = SqlParser.create(sql, config.withParserFactory(factory));

            SqlNode node = parser.parseStmt();

            return true;

        } catch (SqlParseException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,我们使用Apache Calcite库来解析SQL语句。validateSQL()方法首先创建一个SqlParser对象,并使用它来解析传入的SQL语句。如果解析成功,则返回true,否则返回false。

总结

总的来说,使用JDBC API和JSqlParser库、正则表达式、ANTLR解析器生成器或Apache Calcite库都可以实现校验SQL语句的合法性。具体使用哪种方法取决于你的需求和个人喜好。

如何用java校验SQL语句的合法性?(提供五种解决方案)的更多相关文章

  1. java中sql语句能不能加分号的问题?

    一.原因  在程序运行中,当执行sql后总是报无效字符错误:但是把程序放在pl/sql中执行又没有错误.让我很纳闷!于是我开始查找资料,然后我终于发现了问题. 二.问题剖析 原来在程序中:如果你在程序 ...

  2. Java的sql语句 写关键字不需要添加单引号

    Java的sql语句 写关键字不需要添加单引号

  3. [转帖]关于Java中SQL语句的拼接规则

    关于Java中SQL语句的拼接规则 自学demo 的时候遇到的问题 结果应该是 '"+e.getName()+"' 注意 一共有三组标点符号 (除去 方法函数后面的括号) 实现目标 ...

  4. java执行sql语句使用别名时显示Column '***' not found

    java执行sql语句使用别名时显示Column '*' not found 在做一个小项目时遇到个问题,执行sql语句使用别名时总是报sql异常 Column '*' not found,折腾半天终 ...

  5. Shell脚本中执行sql语句操作mysql的5种方法【转】

    对于自动化运维,诸如备份恢复之类的,DBA经常需要将SQL语句封装到shell脚本.本文描述了在Linux环境下mysql数据库中,shell脚本下调用sql语句的几种方法,供大家参考.对于脚本输出的 ...

  6. 浅谈MySQL中优化sql语句查询常用的30种方法 - 转载

    浅谈MySQL中优化sql语句查询常用的30种方法 1.对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引. 2.应尽量避免在 where 子句中使 ...

  7. SQL语句复习【专题五】

    SQL语句复习[专题五] 单行子查询:只会得到一个结果的子查询[子查询的内容必须放在小括号中.在查询语句中的查询语句 ]--查询所有比 CLARK 员工 工资高的员工--1.先查询 CLARK 员工的 ...

  8. 如何用ORM支持SQL语句的CASE WHEN?

    OQL如何支持CASE WHEN? 今天,一个朋友问我,OQL可否支持CASE WHEN语句?他给的示例SQL如下: then '启用' else '停用' from tb_User OQL是SOD框 ...

  9. Java中sql语句的引号问题

    1..sql语句 在数据库中,当我们查询语句时,会使用类似的语句: Select * from userinfo where userid='1' or 1; Select * from userin ...

  10. SHELL脚本中执行SQL语句操作MYSQL的5种方法

    对于自动化运维,诸如备份恢复之类的,DBA经常需要将SQL语句封装到shell脚本.本文描述了在Linux环境下mysql数据库中,shell脚本下调用sql语句的几种方法,供大家参考.对于脚本输出的 ...

随机推荐

  1. Windows下Redis安装及自启动

    Redis下载 Redis 官方网站没有提供 Windows 版的安装包,可以通过 GitHub 来下载 Windows 版 Redis 安装包,下载地址:点击前往. 打开上述的下载地址链接,Redi ...

  2. centos7.6镜像

    centos7.6镜像 https://archive.kernel.org/centos-vault/7.6.1810/isos/x86_64/

  3. 说一说webpack的配置文件

    可能有一些友友会奇怪为什么在写webpack的配置文件的时候,我们只能用commonJS导出. 原因:在打包的时候需要运行webpack的配置文件里面的代码,而webpack在打包运行的环境在node ...

  4. 关于group by的一个问题

    项目场景: 有时候,遇到数据库重复数据,需要将数据进行分组,并取出其中一条来展示,这时就需要用到group by语句.但是,如果mysql是高版本,当执行group by时,select的字段不属于g ...

  5. 导入ssm项目时,项目基本的配置文件

    一.ssm框架基本的配置文件 上面的这些配置文件对于比较简单的ssm项目其实大同小异,逻辑上是差不多的. 在config目录下 在lib下就是各种jar包 二.导入ssm项目后,本地环境配置和项目本身 ...

  6. springMVC的定时器

    大家好,本人从事软件行业已有8年,大部分时间从事软件开发编写工作.好了废话少说了哈哈哈,直接干货. 在Java开发过程中有很多业务需求里面需要我们实时处理一些动态的业务比如库存的数据动态更新,实时数据 ...

  7. (五).JavaScript的函数

    1. 函数 1.1 函数基础简介 函数介绍 函数:具有特定功能的代码块 本质:一种对象数据类型 功能:1. 代码复用 2. 项目模块化 函数组成(两者必须同时存在): 1. 函数定义 2. 函数调用 ...

  8. porps传参

    porps传参(最常用的 布尔传值)(基于前面的步骤进行修改) ①index.js //定义动态路由 props:trueconst routes =[ {path:"/user/:id/: ...

  9. oneDNN

    目录 oneDNN卷积思路 debug捆绑套路 jit_avx2_convolution_fwd_t::execute_forward( 整个文件oneDNN/src/cpu/x64/jit_avx2 ...

  10. How to Install VMware Tools on CentOS 6.5

    yum install perl gcc make kernel-headers kernel-devel -y [root@centos6 vmware-tools-distrib]# ./vmwa ...