Groovy,创建 MSSQL 数据库的安全方法

【问题标题】:Groovy, safe way to create MSSQL databaseGroovy,创建 MSSQL 数据库的安全方法
【发布时间】:2016-10-13 16:10:07
【问题描述】:

我正在尝试使用 groovy.sql.Sql 在 MSSQL (Microsoft SQL Server) 服务器中创建数据库。似乎准备好的语句在中断查询的最后一个参数周围添加了额外的引号。

这个测试代码:

import groovy.sql.Sql
import com.microsoft.sqlserver.jdbc.SQLServerDataSource

def host = 'myhost'
def port = '1433'
def database = 'mydatabasename'
def usernameName = 'myusername'
def password = 'mypassword'

def dataSource = new SQLServerDataSource()
dataSource.setURL("jdbc:sqlserver://$host:$port")
dataSource.setUser(username)
dataSource.setPassword(password)

def connection new Sql(dataSource)
connection.execute(
    'IF EXISTS (SELECT * FROM master.dbo.sysdatabases WHERE name = ?) DROP DATABASE ?',
    [ databaseName, databaseName ]
)

给出错误:

Failed to execute: IF EXISTS (SELECT * FROM master.dbo.sysdatabases WHERE name = ?) DROP DATABASE ? because: Incorrect syntax near '@P1'.

如何使用准备好的语句而不在参数一周围添加单引号(DROP DATABASE 似乎被重写为 DROP DATABASE '?')或者我可以以不同的方式编写查询,以便添加的单引号不会产生语法错误?

如果有人能给我一个工作示例,我也可以使用其他框架。

【问题讨论】:

    标签: sql-server database groovy sql-injection


    【解决方案1】:

    你可以试试:

    connection.execute(
    "IF EXISTS (SELECT * FROM master.dbo.sysdatabases WHERE name = $databaseName) DROP DATABASE ${Sql.expand(databseName)}"
)

    【讨论】:

    • 谢谢,Sql.expand 会让查询注入安全吗?
    • 不,不是靠它自己,但它会使查询工作。
    • :) 好吧,那不是我要找的,那我也可以做串联,我会继续找的。​​span>
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-12-08
    • 2014-05-23
    • 2016-04-25
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode