java–如何在动态查询中保护自己免受SQL注入？

我的应用程序获取对数据库的String对象查询.例如.字符串查询= EMAIL,如’％test％’,USER_NAME类似’％user％’.查询是动态构建的,我不知道它的结构,因此我无法利用PrepareStatement.有谁知道在这种情况下防止SQL注入的方式？

数据库：Oracle
语言：Java 1.6

请帮忙.

解决方法:

即使您不知道结构,也可以使用PreparedStatement.让我用一个简单的例子来演示：

List arguments = new ArrayList();
String sql = "SELECT * FROM user WHERE someCOndition= ?";
if (queryOnEmail) {
sql = sql + " AND email LIKE ?";
arguments.add(email);
}
if (queryOnUserName) {
sql = sql + " AND user_name LIKE ?";
arguments.add(userName);
}
PreparedStatement stmt = con.prepareStatement(sql);
int i = 1;
for(Object o : arguments) {
stmt.setObject(i, o);
i++;
}


当然,您可以将此SQL参数构造包装到其自己的类中以简化其用法.