方案一:使用JDBC API中提供的Statement接口的execute()方法

要在Java中校验SQL语句的合法性,可以使用JDBC API中提供的Statement接口的execute()方法。这个方法会尝试执行给定的SQL语句,如果SQL语句不合法,则会抛出一个SQLException异常。因此,我们可以利用这个异常来判断SQL语句的合法性。

以下是一个简单的示例代码:

import java.sql.*;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password");

            Statement stmt = conn.createStatement();

            stmt.execute(sql);

            return true;

        } catch (SQLException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // false

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,validateSQL()方法接受一个SQL语句作为参数,然后尝试执行这个SQL语句。如果执行成功,返回true,否则返回false。在main()方法中,我们调用了validateSQL()方法来校验三个SQL语句的合法性,并打印了结果。

需要注意的是,这个方法只能判断SQL语句的语法是否合法,而无法判断SQL语句的语义是否合法。因此,如果应用程序允许用户输入SQL语句,一定要进行严格的输入校验和过滤,避免SQL注入攻击。

方案二:使用JSqlParser这个Java库

如果你不希望实际执行SQL语句,而只是想校验SQL语句的合法性,可以使用JSqlParser这个Java库。这个库可以将SQL语句解析成Java对象,然后你可以对这些Java对象进行检查,以判断SQL语句是否合法。

以下是一个简单的示例代码:

import net.sf.jsqlparser.JSQLParserException;

import net.sf.jsqlparser.parser.CCJSqlParserUtil;

import net.sf.jsqlparser.statement.Statement;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Statement stmt = CCJSqlParserUtil.parse(sql);

            return true;

        } catch (JSQLParserException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,validateSQL()方法使用JSqlParser库将SQL语句解析成Java对象。如果解析成功,返回true,否则返回false。在main()方法中,我们调用了validateSQL()方法来校验三个SQL语句的合法性,并打印了结果。

需要注意的是,JSqlParser库只能检查SQL语句的语法是否合法,而无法检查SQL语句的语义是否合法。因此,同样需要进行严格的输入校验和过滤,避免SQL注入攻击。

方案三:使用正则表达式检查SQL语句的格式是否正确

使用正则表达式检查SQL语句的格式是否正确。例如,可以检查SQL语句是否以SELECT、UPDATE、DELETE、INSERT等关键字开头,是否包含必需的关键字和语法元素等。

import java.util.regex.Pattern;

public class SQLValidator {

    private static final String SELECT_PATTERN = "^\\s*SELECT.*";

    private static final String UPDATE_PATTERN = "^\\s*UPDATE.*";

    private static final String DELETE_PATTERN = "^\\s*DELETE.*";

    private static final String INSERT_PATTERN = "^\\s*INSERT.*";

    public static boolean validateSQL(String sql) {

        if (Pattern.matches(SELECT_PATTERN, sql)) {

            // 校验SELECT语句的合法性

            return true;

        } else if (Pattern.matches(UPDATE_PATTERN, sql)) {

            // 校验UPDATE语句的合法性

            return true;

        } else if (Pattern.matches(DELETE_PATTERN, sql)) {

            // 校验DELETE语句的合法性

            return true;

        } else if (Pattern.matches(INSERT_PATTERN, sql)) {

            // 校验INSERT语句的合法性

            return true;

        } else {

            // SQL语句格式不正确

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

方案四:使用ANTLR等工具生成SQL语法解析器,然后使用生成的解析器解析SQL语句,以判断SQL语句的合法性

ANTLR是一种流行的解析器生成器,可以根据定义的语法规则生成解析器。

以下是一个简单的示例代码:

import org.antlr.v4.runtime.*;

import org.antlr.v4.runtime.tree.*;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            CharStream input = CharStreams.fromString(sql);

            SQLLexer lexer = new SQLLexer(input);

            CommonTokenStream tokens = new CommonTokenStream(lexer);

            SQLParser parser = new SQLParser(tokens);

            ParseTree tree = parser.statement();

            return true;

        } catch (Exception e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,我们使用ANTLR生成了一个SQL语法解析器,并在validateSQL()方法中使用这个解析器来解析SQL语句。如果解析成功,则说明SQL语句格式正确,返回true,否则返回false。

方案五:使用Apache Calcite等SQL解析器库来解析SQL语句

Apache Calcite是一个强大的SQL解析器和优化器,它支持大多数SQL语法,并能够将SQL语句解析为抽象语法树(AST)。

以下是一个简单的示例代码:

import org.apache.calcite.sql.SqlNode;

import org.apache.calcite.sql.parser.SqlParseException;

import org.apache.calcite.sql.parser.SqlParser;

import org.apache.calcite.sql.parser.SqlParser.Config;

import org.apache.calcite.sql.parser.SqlParserImplFactory;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Config config = SqlParser.config();

            SqlParserImplFactory factory = config.parserFactory();

            SqlParser parser = SqlParser.create(sql, config.withParserFactory(factory));

            SqlNode node = parser.parseStmt();

            return true;

        } catch (SqlParseException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,我们使用Apache Calcite库来解析SQL语句。validateSQL()方法首先创建一个SqlParser对象,并使用它来解析传入的SQL语句。如果解析成功,则返回true,否则返回false。

总结

总的来说,使用JDBC API和JSqlParser库、正则表达式、ANTLR解析器生成器或Apache Calcite库都可以实现校验SQL语句的合法性。具体使用哪种方法取决于你的需求和个人喜好。

如何用java校验SQL语句的合法性?(提供五种解决方案)的更多相关文章

  1. java中sql语句能不能加分号的问题?

    一.原因  在程序运行中,当执行sql后总是报无效字符错误:但是把程序放在pl/sql中执行又没有错误.让我很纳闷!于是我开始查找资料,然后我终于发现了问题. 二.问题剖析 原来在程序中:如果你在程序 ...

  2. Java的sql语句 写关键字不需要添加单引号

    Java的sql语句 写关键字不需要添加单引号

  3. [转帖]关于Java中SQL语句的拼接规则

    关于Java中SQL语句的拼接规则 自学demo 的时候遇到的问题 结果应该是 '"+e.getName()+"' 注意 一共有三组标点符号 (除去 方法函数后面的括号) 实现目标 ...

  4. java执行sql语句使用别名时显示Column '***' not found

    java执行sql语句使用别名时显示Column '*' not found 在做一个小项目时遇到个问题,执行sql语句使用别名时总是报sql异常 Column '*' not found,折腾半天终 ...

  5. Shell脚本中执行sql语句操作mysql的5种方法【转】

    对于自动化运维,诸如备份恢复之类的,DBA经常需要将SQL语句封装到shell脚本.本文描述了在Linux环境下mysql数据库中,shell脚本下调用sql语句的几种方法,供大家参考.对于脚本输出的 ...

  6. 浅谈MySQL中优化sql语句查询常用的30种方法 - 转载

    浅谈MySQL中优化sql语句查询常用的30种方法 1.对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引. 2.应尽量避免在 where 子句中使 ...

  7. SQL语句复习【专题五】

    SQL语句复习[专题五] 单行子查询:只会得到一个结果的子查询[子查询的内容必须放在小括号中.在查询语句中的查询语句 ]--查询所有比 CLARK 员工 工资高的员工--1.先查询 CLARK 员工的 ...

  8. 如何用ORM支持SQL语句的CASE WHEN?

    OQL如何支持CASE WHEN? 今天,一个朋友问我,OQL可否支持CASE WHEN语句?他给的示例SQL如下: then '启用' else '停用' from tb_User OQL是SOD框 ...

  9. Java中sql语句的引号问题

    1..sql语句 在数据库中,当我们查询语句时,会使用类似的语句: Select * from userinfo where userid='1' or 1; Select * from userin ...

  10. SHELL脚本中执行SQL语句操作MYSQL的5种方法

    对于自动化运维,诸如备份恢复之类的,DBA经常需要将SQL语句封装到shell脚本.本文描述了在Linux环境下mysql数据库中,shell脚本下调用sql语句的几种方法,供大家参考.对于脚本输出的 ...

随机推荐

  1. 【jmeter】请求域名解析失败,添加本地代理

    jmeter HTTP请求URL中使用域名 http://xxx.xxx.xxx,异常:java.net.UnkownHostException 原因:请求域名没有被解析成功,该http请求没有通过本 ...

  2. PLC入门笔记12

    1.边沿应用 (1)边沿开关 (2)上升沿触发 下降沿触发 (3) MOVP K4M0 D0 传送比较 movp (=mov) 脉冲型指令 前面条件成立只能执行一次,仅执行一次扫描周期 不带P MOV ...

  3. 工控小工具 snmp 、opc ua 、modbus 、tcp、bacnet 开发环境Net6.0

    下载地址 https://files.cnblogs.com/files/blogs/745639/net6.0-windows.rar?t=1674114312

  4. BubbleSort,冒泡排序,C++非递归和递归实现

    1 // g++ bubble_sort.cc -Wall -O3 && ./a.exe 2 3 4 #include <iostream> 5 #include < ...

  5. 使用idea从零编写SpringCloud项目-Hystrix

    ps:Hystrix和Fegin里面使用的Hystrix,有些许区别.我理解的是Fegin.Hystrix主要是用于消费方在调用服务方接口时的异常处理,返回兜底数据等,而Hystrix则是消费方自己本 ...

  6. JMeter线程

    线程Threads:场景设置,模拟并发用户发送请求,设置并发策略.即以线程的方式来模拟多用户并发的.常用线程包括:线程组. jp@gc-Stepping Thread Group.bzm-Arriva ...

  7. Visual Studio 2022 离线包手动下载和清理

    下载离线vsvs_Professional.exe --layout e:\vs2022 --all --includeRecommended --includeOptional --lang zh- ...

  8. delphi 给 Timage 加上滚动条方法

    delphi Timage 加上滚动条的方法 1:将  Timage 放入 TScrollBox内,即   [1]设image1.parent:= ScrollBox1;   [2]在Object I ...

  9. 网页返回unicode源码 python解码详细步骤

    刚入门python! 记录一下网页返回源码,中文部分被unicode编码,python如何处理 1.先提取编码后的数据(如果不提取正篇源码直接unicode解码,解码方法无法识别) 这个步骤属于逻辑问 ...

  10. jieba初

    url: https://github.com/fxsjy/jieba/blob/master/ jieba "结巴"中文分词:做最好的 Python 中文分词组件 "J ...