方案一:使用JDBC API中提供的Statement接口的execute()方法

要在Java中校验SQL语句的合法性,可以使用JDBC API中提供的Statement接口的execute()方法。这个方法会尝试执行给定的SQL语句,如果SQL语句不合法,则会抛出一个SQLException异常。因此,我们可以利用这个异常来判断SQL语句的合法性。

以下是一个简单的示例代码:

import java.sql.*;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password");

            Statement stmt = conn.createStatement();

            stmt.execute(sql);

            return true;

        } catch (SQLException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // false

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,validateSQL()方法接受一个SQL语句作为参数,然后尝试执行这个SQL语句。如果执行成功,返回true,否则返回false。在main()方法中,我们调用了validateSQL()方法来校验三个SQL语句的合法性,并打印了结果。

需要注意的是,这个方法只能判断SQL语句的语法是否合法,而无法判断SQL语句的语义是否合法。因此,如果应用程序允许用户输入SQL语句,一定要进行严格的输入校验和过滤,避免SQL注入攻击。

方案二:使用JSqlParser这个Java库

如果你不希望实际执行SQL语句,而只是想校验SQL语句的合法性,可以使用JSqlParser这个Java库。这个库可以将SQL语句解析成Java对象,然后你可以对这些Java对象进行检查,以判断SQL语句是否合法。

以下是一个简单的示例代码:

import net.sf.jsqlparser.JSQLParserException;

import net.sf.jsqlparser.parser.CCJSqlParserUtil;

import net.sf.jsqlparser.statement.Statement;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Statement stmt = CCJSqlParserUtil.parse(sql);

            return true;

        } catch (JSQLParserException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,validateSQL()方法使用JSqlParser库将SQL语句解析成Java对象。如果解析成功,返回true,否则返回false。在main()方法中,我们调用了validateSQL()方法来校验三个SQL语句的合法性,并打印了结果。

需要注意的是,JSqlParser库只能检查SQL语句的语法是否合法,而无法检查SQL语句的语义是否合法。因此,同样需要进行严格的输入校验和过滤,避免SQL注入攻击。

方案三:使用正则表达式检查SQL语句的格式是否正确

使用正则表达式检查SQL语句的格式是否正确。例如,可以检查SQL语句是否以SELECT、UPDATE、DELETE、INSERT等关键字开头,是否包含必需的关键字和语法元素等。

import java.util.regex.Pattern;

public class SQLValidator {

    private static final String SELECT_PATTERN = "^\\s*SELECT.*";

    private static final String UPDATE_PATTERN = "^\\s*UPDATE.*";

    private static final String DELETE_PATTERN = "^\\s*DELETE.*";

    private static final String INSERT_PATTERN = "^\\s*INSERT.*";

    public static boolean validateSQL(String sql) {

        if (Pattern.matches(SELECT_PATTERN, sql)) {

            // 校验SELECT语句的合法性

            return true;

        } else if (Pattern.matches(UPDATE_PATTERN, sql)) {

            // 校验UPDATE语句的合法性

            return true;

        } else if (Pattern.matches(DELETE_PATTERN, sql)) {

            // 校验DELETE语句的合法性

            return true;

        } else if (Pattern.matches(INSERT_PATTERN, sql)) {

            // 校验INSERT语句的合法性

            return true;

        } else {

            // SQL语句格式不正确

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

方案四:使用ANTLR等工具生成SQL语法解析器,然后使用生成的解析器解析SQL语句,以判断SQL语句的合法性

ANTLR是一种流行的解析器生成器,可以根据定义的语法规则生成解析器。

以下是一个简单的示例代码:

import org.antlr.v4.runtime.*;

import org.antlr.v4.runtime.tree.*;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            CharStream input = CharStreams.fromString(sql);

            SQLLexer lexer = new SQLLexer(input);

            CommonTokenStream tokens = new CommonTokenStream(lexer);

            SQLParser parser = new SQLParser(tokens);

            ParseTree tree = parser.statement();

            return true;

        } catch (Exception e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,我们使用ANTLR生成了一个SQL语法解析器,并在validateSQL()方法中使用这个解析器来解析SQL语句。如果解析成功,则说明SQL语句格式正确,返回true,否则返回false。

方案五:使用Apache Calcite等SQL解析器库来解析SQL语句

Apache Calcite是一个强大的SQL解析器和优化器,它支持大多数SQL语法,并能够将SQL语句解析为抽象语法树(AST)。

以下是一个简单的示例代码:

import org.apache.calcite.sql.SqlNode;

import org.apache.calcite.sql.parser.SqlParseException;

import org.apache.calcite.sql.parser.SqlParser;

import org.apache.calcite.sql.parser.SqlParser.Config;

import org.apache.calcite.sql.parser.SqlParserImplFactory;

public class SQLValidator {

    public static boolean validateSQL(String sql) {

        try {

            Config config = SqlParser.config();

            SqlParserImplFactory factory = config.parserFactory();

            SqlParser parser = SqlParser.create(sql, config.withParserFactory(factory));

            SqlNode node = parser.parseStmt();

            return true;

        } catch (SqlParseException e) {

            return false;

        }

    }

    public static void main(String[] args) {

        String sql1 = "SELECT * FROM mytable WHERE id = 1";

        String sql2 = "SELECT * FROM mytable WHERE id = '1'";

        String sql3 = "SELECT * FROM mytable WHERE id = ;DROP TABLE mytable;";

        System.out.println(validateSQL(sql1)); // true

        System.out.println(validateSQL(sql2)); // true

        System.out.println(validateSQL(sql3)); // false

    }

}

在这个示例代码中,我们使用Apache Calcite库来解析SQL语句。validateSQL()方法首先创建一个SqlParser对象,并使用它来解析传入的SQL语句。如果解析成功,则返回true,否则返回false。

总结

总的来说,使用JDBC API和JSqlParser库、正则表达式、ANTLR解析器生成器或Apache Calcite库都可以实现校验SQL语句的合法性。具体使用哪种方法取决于你的需求和个人喜好。

如何用java校验SQL语句的合法性?(提供五种解决方案)的更多相关文章

  1. java中sql语句能不能加分号的问题?

    一.原因  在程序运行中,当执行sql后总是报无效字符错误:但是把程序放在pl/sql中执行又没有错误.让我很纳闷!于是我开始查找资料,然后我终于发现了问题. 二.问题剖析 原来在程序中:如果你在程序 ...

  2. Java的sql语句 写关键字不需要添加单引号

    Java的sql语句 写关键字不需要添加单引号

  3. [转帖]关于Java中SQL语句的拼接规则

    关于Java中SQL语句的拼接规则 自学demo 的时候遇到的问题 结果应该是 '"+e.getName()+"' 注意 一共有三组标点符号 (除去 方法函数后面的括号) 实现目标 ...

  4. java执行sql语句使用别名时显示Column '***' not found

    java执行sql语句使用别名时显示Column '*' not found 在做一个小项目时遇到个问题,执行sql语句使用别名时总是报sql异常 Column '*' not found,折腾半天终 ...

  5. Shell脚本中执行sql语句操作mysql的5种方法【转】

    对于自动化运维,诸如备份恢复之类的,DBA经常需要将SQL语句封装到shell脚本.本文描述了在Linux环境下mysql数据库中,shell脚本下调用sql语句的几种方法,供大家参考.对于脚本输出的 ...

  6. 浅谈MySQL中优化sql语句查询常用的30种方法 - 转载

    浅谈MySQL中优化sql语句查询常用的30种方法 1.对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引. 2.应尽量避免在 where 子句中使 ...

  7. SQL语句复习【专题五】

    SQL语句复习[专题五] 单行子查询:只会得到一个结果的子查询[子查询的内容必须放在小括号中.在查询语句中的查询语句 ]--查询所有比 CLARK 员工 工资高的员工--1.先查询 CLARK 员工的 ...

  8. 如何用ORM支持SQL语句的CASE WHEN?

    OQL如何支持CASE WHEN? 今天,一个朋友问我,OQL可否支持CASE WHEN语句?他给的示例SQL如下: then '启用' else '停用' from tb_User OQL是SOD框 ...

  9. Java中sql语句的引号问题

    1..sql语句 在数据库中,当我们查询语句时,会使用类似的语句: Select * from userinfo where userid='1' or 1; Select * from userin ...

  10. SHELL脚本中执行SQL语句操作MYSQL的5种方法

    对于自动化运维,诸如备份恢复之类的,DBA经常需要将SQL语句封装到shell脚本.本文描述了在Linux环境下mysql数据库中,shell脚本下调用sql语句的几种方法,供大家参考.对于脚本输出的 ...

随机推荐

  1. 【pytest】pytest.mark.dependency用例依赖标签,并解决依赖失效的问题

    pytest第三方插件,用来解决用例之间的依赖关系.如果依赖的用例执行失败后 后续的用例会被跳过执行,相当于智能执行了pytest.mark.skip, 首先要安装插件:pip install pyt ...

  2. iterm2免密自动登陆服务器

    之前的配置方式出现了less命令查看文本格式紊乱,以及输入的命令也是紊乱的,导致没办法正常使用 以前的配置方式如下: 在iterm2里配置command,如下图 2. online文件如下: #!/u ...

  3. Bugku Log4j2 漏洞题目 解题参考

    Log4j2 漏洞题目 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html?page=1 二.攻击环境准备 需要一台linux云服务器,把 ...

  4. 时间格式转换成指定格式(Vue)

    1 /** 2 * Parse the time to string 3 * @param {(Object|string|number)} time 4 * @param {string} cFor ...

  5. sqlite3 replace函数服务器端替换一个字段中数据的例子 ;拼接字段字符串

    1.把字段filePath中所有类似 '/usr/local/Trolltech/%'的字符串都替换成   '/zzzzz/' update   EstDlpFileAttribute  set    ...

  6. echarts 图表动态刷新数据

    需求:每次重新加载数据,图表柱状图从零开始加载 用 myChart.clear(); 这个方式解决. 在setOption 之前用 示例: myChart.clear(); myChart.setOp ...

  7. vue 组件之间事件触发($emit)与event Bus($on)的用法说明

    组件之间事件触发 新增按钮组件: 操作按钮组合组件: 此时有个需求就是,无论是哪个按钮,如果改变了列表中的数据,列表需要实时更新数据. 此时就需要用到组件间的事件触发. 父子组件之间事件触发可以使用$ ...

  8. VMware虚拟机中Ubuntu18.04无法连接网络的有效解决办法

    对VMware虚拟机进行恢复默认网络设置 恢复虚拟网络默认设置(在断网状态下): 1)Ubuntu网络设置自动获取IP 依次单击[System Settings]–>[Network]–> ...

  9. python补全用法,windows环境和linux环境

    一.windows中python tab具体如下: 1.python3环境装好后,初始环境是没有装readline模块的,先装它. pip install pyreadline 2.在在python的 ...

  10. C# EF框架的入门使用

    如何构建数据模型 新建项 ADO.NET 实体模型 设置链接 链接字符串需要选择"是,包含敏感数据 注意:EF的框架引用的表应该要存在主键,程序引用中要包含 using System.Dat ...