Java 如何避免;安全性-准备好的语句由非恒定字符串“生成”;FindBugs警告
我正在从事一个项目,其代码如下:Java 如何避免;安全性-准备好的语句由非恒定字符串“生成”;FindBugs警告,java,jdbc,findbugs,Java,Jdbc,Findbugs,我正在从事一个项目,其代码如下: String sql = "SELECT MAX(" + columnName + ") FROM " + tableName; PreparedStatement ps = connection.prepareStatement(sql); 有没有什么方法可以改变这个代码,让FindBugs停止给我一个 “安全性-从非恒定字符串生成准备好的语句”警告 请假设这段代码在SQL注入方面是安全的,因为我可以控制代码中的其他地方 “t
String sql = "SELECT MAX(" + columnName + ") FROM " + tableName;
PreparedStatement ps = connection.prepareStatement(sql);
“tableName”和“columnName”的值(它们不直接来自用户输入)。不通过
+sqlString sql = String.format("SELECT MAX(%s) FROM %s ", columnName, tableName);
静态StringBuilder@SuppressWarnings(“SQL\u PREPARED\u STATEMENT\u GENERATED\u FROM\u NONCONSTANT\u STRING”)您还可以使用定义应排除的规则。尝试使用以下命令
private static final String SQL = "SELECT MAX(%s) FROM %s";
PreparedStatement ps = connection.prepareStatement(String.format(sql,columnName,tableName));
如果这不起作用(或不是一个选项),某些IDE(如IntelliJ)也会允许您使用特殊格式的注释或批注来提供警告。String.format和StringBuilder(或StringBuffer)都没有帮到我 溶液为“预陈述”分离:
private PreparedStatement prepareStatement(Connection conn, String sql) throws SQLException {
return conn.prepareStatement(sql);
}
这将解决findbug警告。如果确保不存在SQL注入的可能性,请在方法上使用SuppressFBWarnings注释:
@edu.umd.cs.findbugs.annotations.SuppressFBWarnings("SQL_PREPARED_STATEMENT_GENERATED_FROM_NONCONSTANT_STRING")
可以使用连接来创建字符串。这样做不会导致安全警告。在处理长SQL语句时,为了清晰起见,最好将其拆分为多行 使用变量构造字符串是导致安全警告的原因 这将导致警告:
String columnName = getName();
String tableName = getTableName();
final String sql = "SELECT MAX(" + columnName + ") FROM " + tableName;
PreparedStatement ps = connection.prepareStatement(sql);
String columnName = getName();
String tableName = getTableName();
final String sql = "SELECT MAX(" + "?" + ")" +
"FROM " + "?";
PreparedStatement ps = connection.prepareStatement(sql);
ps.setString(1, columnName);
ps.setString(2, tableName);
private static final boolean USE_TEST_TABLE = true;
private static final boolean USE_RESTRICTED_COL = true;
private static final String TEST_TABLE = "CLIENT_TEST";
private static final String PROD_TABLE = "CLIENT";
private static final String RESTRICTED_COL ="AGE_COLLATED";
private static final String UNRESTRICTED_COL ="AGE";
....................
final String sql = "SELECT MAX(" +
( USE_RESTRICTED_COL ? RESTRICTED_COL : UNRESTRICTED_COL ) + ")" +
"FROM " +
( USE_TEST_TABLE ? TEST_TABLE : PROD_TABLE );
PreparedStatement ps = connectComun.prepareStatement(sql);
结论:对于这个问题的一般情况,没有完美的解决方案。嗨,杰西,谢谢你的回答。我试着照你说的做,但不幸的是没有成功。你的最后一个建议,与@user714965提到的相同,起到了作用。现在我必须决定是否要为在我的项目中使用FindBugs lib来消除警告而付出代价。我在使用StringBuilder时遇到过此警告的其他情况,因此这不起作用。注释是有效的(最好向其他读者澄清,它的完全限定名是@edu.umd.cs.findbugs.annotations.SuppressWarnings)。现在,我必须决定是否在我的项目中使用FindBugs库。再次感谢。@ederribeiro:项目中对FindBugs的依赖可能不是最好的,你是对的。在我最初的回答中,我遗漏了一点,请看最后一段。这解决了这个问题,因为OP确信他的代码不会被SQL注入。但它容易出错,因此通常是一种不好的做法。准备好带有参数的语句是一种方法。我不会投反对票,因为它实际上解决了问题,但我建议不要那样做。这对我也没有帮助。你的声明执行了吗?获取的绑定表名
ORA-00903:无效的表名StringBuilderStringBuilder sql = new StringBuilder();
sql.append("SELECT MAX(")
.append(columnName)
.append(") FROM ")
.append(tableName);
PreparedStatement ps = connection.prepareStatement(sql);
ps.execute();
StringBuilder sql = new StringBuilder();
sql.append("SELECT MAX(")
.append(columnName)
.append(") FROM ")
.append(tableName);
PreparedStatement ps = connection.prepareStatement(sql);
ps.execute();