背景:
我目前正在为企业 CMS 数据库(业务对象)开发 Java 前端。目前,我正在构建一个功能以允许用户构建自定义数据库查询。我已经实施了一些措施,以确保用户只能使用已批准用户访问的可用列和运算符的子集进行选择(例如,可以选择 SI_EMAIL_ADDRESS,而不能选择更强大的字段,如 SI_CUID)。到目前为止,事情一直在顺利进行,但现在是时候保护此功能免受潜在的 SQL 注入攻击了。
问题:
我正在寻找一种方法来转义用户输入字符串。我已经看过 PerparedStatement,但是我不得不使用第三方 API 来访问数据库。这些 API 对我来说是不可变的,直接数据库访问是不可能的。各个方法采用表示要运行的查询的字符串,从而使 PreparedStatement 无效(据我所知,它必须针对直接数据库连接运行)。
我考虑过使用 String.replace(),但如果可能的话,我不想重新发明轮子。此外,我与开发 PerparedStatement 的安全专家相差甚远。
我还查看了 PerparedStatement 的 Java API 参考,希望能找到某种 toString() 方法。唉,我一直找不到类似的东西。
任何帮助是极大的赞赏。先感谢您。
参考: