3

我们都知道在 Java 中你应该使用 PreparedStatments 来避免安全漏洞。

但是,我注意到当使用LIKE语句进行“开始于”搜索时,PreparedStatments 可能会导致性能问题。因为该语句是在没有值的情况下编译的,所以驱动程序必须假定通配符可以在任何地方,包括开头,因此它会跳过该列上的任何索引。但是,如果您使用LIKE值作为文字来编译语句,它会看到它可以在值上使用列的索引,直到通配符和查询执行良好。 

//safe, but prepared statement can't use index on MYCOL
String userInput = "myval%";
statement = conn.prepareStatement("SELECT * FROM MYTABLE WHERE MYCOL LIKE ?");
statement.setString(1, userInput);
rs = statement.executeQuery();


//can use index on MYCOL, but is not safe
statement = conn.createStatement();
rs = statement.executeQuery("SELECT * FROM MYTABLE WHERE MYCOL LIKE '"+userInput+"'");

那么如何在保留索引的同时避免安全漏洞呢?我假设我将不得不尝试清理输入而不是使用 PreparedStatement - 如果是这样,是否存在一个库来正确执行它?或者是否有相同的 java.sql 或(oracle)数据库提示方式告诉准备好的语句它将能够使用值上的索引?

4

2 回答 2

1

创建一个 sql 函数来执行此操作,或使用第二种方法并转义字符('-->> ''

String userInput="IBM";
statement = conn.createStatement();
    rs = statement.executeQuery("SELECT * FROM MYTABLE WHERE MYCOL LIKE '"+userInput.replaceAll("'","''")+"%'");
于 2013-10-15T17:25:45.063 回答
1

您是否考虑过在数据库端创建一个 stored_procedure ?这样,您只需将 stored_procedure 名称和类似字符串作为参数发送到数据库,并在 java 端处理结果集。这样,您知道您的查询将使用您正在处理的表的索引。

于 2013-10-15T17:23:38.353 回答