用反射去拼接sql

最新推荐文章于 2024-06-29 21:59:41 发布
最新推荐文章于 2024-06-29 21:59:41 发布
阅读量316 收藏
点赞数 1
分类专栏: java 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxqjava/article/details/122888552
版权

用反射去拼接sql

原因:公司项目使用jpa去修改数据库信息,原项目新增和修改直接调用jpq的save方法既可以,但现要求接口接收到部分实体类的参数,就只修改部分参数,故jpa的save方法达不到要求,所以要手动去组装sql,但是,实体类参数太多,判断非空太繁琐,所以想写一个方法去组装sql。
直接上代码

<T> String dtoToString(T t) {
        //获得某个类的所有声明的字段,即包括public、private和proteced
        Field[] declaredFields = t.getClass().getDeclaredFields();
        StringBuffer stringBuffer = new StringBuffer("");
        String name1 = t.getClass().getSimpleName();
        System.out.println(name1);
        // 遍历,拼接sql
        for (Field field : declaredFields) {
            String name = field.getName();
            try {
                // 获取值
                field.setAccessible(true);
                Object o = field.get(t);
                // 判断值是不是存在&& o.toString().equals("0")
                if (!Objects.isNull(o) && !isBaseDefaultValue(o)){
                    if (!stringBuffer.toString().equals("")){
                        stringBuffer.append(",");
                    }
                    stringBuffer.append(name).append("='").append(o).append("'");
                }
            } catch (IllegalAccessException e) {
                e.printStackTrace();
            }
        }
        System.out.println(stringBuffer.toString());
        return stringBuffer.toString();
    }

    /**
     * 判断是不是默认值
     * @param object
     * @return
     */
    public static boolean isBaseDefaultValue(Object object) {
        Class className = object.getClass();
        String strClassName = "" + className;
        if(className.equals(java.lang.Integer.class)) {
            return (int)object == 0;
        } else if(className.equals(java.lang.Byte.class)) {
            return (byte)object == 0;
        } else if(className.equals(java.lang.Long.class)) {
            return (long)object == 0L;
        } else if(className.equals(java.lang.Double.class)) {
            return (double)object == 0.0d;
        } else if(className.equals(java.lang.Float.class)) {
            return (float)object == 0.0f;
        } else if(className.equals(java.lang.Character.class)) {
            return (char)object == '\u0000';
        } else if(className.equals(java.lang.Short.class)) {
            return (short)object == 0;
        } else if(className.equals(java.lang.Boolean.class)) {
            return (boolean)object == false;
        }
        return false;
    }

但该代码依旧存在部分问题,譬如boolean类型传入的就是false呢,该方法无法去判断。慎用!!!

老派Sql之必要,逆天,我在ef core中使用ado.net!
jine1987的专栏
08-05 417
老派SQL之必要,逆天,我在ef core中使用ado.net!
MybatisPlus(常见注解、常见配置、条件构造器、自定义SQL、Service接口、代码生成、静态工具、逻辑删除、枚举及JSON处理器、配置加密、分页插件)
sjp991012的博客
08-01 732
MybatisPlus(常见注解、常见配置、条件构造器、自定义SQL、Service接口、代码生成、静态工具、逻辑删除、枚举及JSON处理器、配置加密、分页插件)
反射自定义属性拼接SQL
09-03
反射自定义属性拼接SQL 反射自定义属性拼接SQL例子!是项目上的小例子! 共研究下
java注解 sql_java反射获取注解并拼接sql语句
weixin_31862047的博客
02-16 297
packagecom.hk.test;importjava.lang.reflect.Field;importjava.lang.reflect.Method;/****@authorhk_z*@deprecated对类进行反射 获取注解和字段名 拼接sql语句*@version0.1*/public classTest {public static voidmain(String[] args...
反射之动态拼接sql字符串
Lychee__的博客
12-07 874
反射之动态拼接sql字符串 前言 自己在学习JDBC连接数据库,不用框架手动实现时,个人觉得反射动态拼接sql的思想很好,当然了大家伙觉得好才是真的好(广州好迪,手动狗头),所以才有了本文对该知识点梳理与总结。分享给大家,下面开始步入文章的正文,亲们不要掉队。 正文 ...
使用反射拼接SQL语句 和 使用 反射 + 注解 拼接SQL语句
小丁的博客
10-22 294
使用反射拼接SQL语句 和 使用 反射 + 注解 拼接SQL语句 理解反射和注解的意义
通过java反射生成sql语句
Baldprogrammer的博客
12-10 604
通过java反射生成sql语句 工具类 package com.shp.dev.his.doctor.common; import java.lang.reflect.Field; /** * @Auther shp * @data2019/12/1015:01 * @description */ public class CrudUtils { /** * ...
Mybatis从源码分析——启动到解析配置文件再到执行SQL语句过程
qq_44027353的博客
06-29 882
try {//将XML配置文件构建为Configuration配置类// 通过加载配置文件流构建一个SqlSessionFactory DefaultSqlSessionFactory// 数据源 执行器 DefaultSqlSessiontry {// 执行查询 底层执行jdbc}finally {从配置文件,通常是XML配置文件,获得SqlSessionFactory从SqlSessionFactory中获得SqlSession。
【零散知识点总结1】
weixin_44543307的博客
03-06 6930
零散笔记总结@Reference、@Autowired和@Resource的区别:Dubbohttp和HTTPSvue.js跟thymeleaf 的区别web开发,提供3个@Component注解衍生注解(功能一样)取代 @Reference、@Autowired和@Resource的区别: @Reference:是dubbo的注解,也是注入,他一般注入的是分布式的远程服务的对象,需要dubbo配置使用。 @Autowired:org.springframework.beans.factor
MyBatis精通之路之分页功能的实现(数组分页、sql分页、拦截器,RowBounds分页)
热门推荐
白哥哥的博客
04-27 5万+
前言:学习hibernate & mybatis等持久层框架的时候,不外乎对数据库的增删改查操作。而使用最多的当是数据库的查找操作, 而当数据库数据过多时,符合查找条件的数据可能也会是很庞大的数据。往往在这个时候,我们都不会希望一次性的将所有的数据一起性读取出来,并且显示在UI界面上。常用的操作,就是对查找到的数据进行分页,每次处理小部分数据。这样每次处理的数据量就会在可控的范围,UI的展示也会很协
c# 反射获取传入对象的属性拼接sql语句实现增、删、改、查
12-21
利用反射动态拼接sql。 daohelper属于DAL层,objectdata类属于BLL层,BLL层引用DAL层。映射数据的表继承objectdata类。例如,数据表book,根据字段与属性一一对应的方式创建book类,插入数据库时,直接book.save()
反射+自定义属性拼接sql
likefxy的专栏
09-01 977
              public class AuthorAttribute:Attribute    {        public string name;        public string codeName;        public string dataType;        public string dataWidth;        public
java运用反射拼接sql语句
weixin_43624810的博客
03-27 2046
public Boolean Regist(Student student) throws IllegalAccessException, SQLException { Integer flag=-1; StringBuffer stringBuffer=new StringBuffer("insert into tb_student ("); Class clazz=student.getClass(); Field[] declaredF.
java反射获取注解并拼接sql语句
weixin_30846599的博客
08-08 148
先建两个注解 分别为 Table 和 Column package com.hk.test; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.an...
java 利用注释和反射写一个简单的SQL语句拼接程序,很简单初学者
wangkaiyuan110的博客
08-21 942
看尚学堂高琪老师的视频看到了注解 加反射这个 东西,之前 对注解和反射并不是很了解,通过老师的视频对注解和反射有了 大致的了解 。 js、python、ruby等都是动态脚本语言,是在编译的时候动态编译的,非常有代表性的代码 可以用js的一段代码简单的表示:         var a=4;b=5; alert(" a =alert(a+b)") 虽然java没有 上述的那种特性
反射实体类拼接SQL语句
weixin_30537451的博客
07-08 334
实体类基类: 1 using System; 2 using System.Collections.Generic; 3 using System.Linq; 4 using System.Reflection; 5 using System.Text; 6 using System.Threading.Tasks; 7 8 namespace...
BaseDao Java利用反射技术原生实现BaseDao<T>,自动拼装SQL语句
Linux下配置Tomcat
05-31 1336
Java利用反射技术原生实现BaseDao,自动拼装SQL语句这里我用了注解+反射首先声明三个注解: import java.lang.annotation.Documented; import java.lang.annotation.ElementType; import java.lang.annotation.Inherited; import java.lang.annotation.R...
【必看】JAVA反射机制原理5分钟掌握就这么简单Reflect、Method、Field使用反射构建SQL语句
SubStar的博客
01-04 490
【必看】JAVA反射机制原理5分钟掌握就这么简单Reflect、Method、Field使用反射构建SQL语句JAVA反射原理JAVA反射的使用JAVA反射字段拼接SQL语句JAVA反射方法构建SQL语句JAVA反射自动化装载JAVA反射自动化批量操作 JAVA反射原理 理解反射之前需要先谈谈Java中的Class。 我们都知道Java是面向对象的,换言之也可以说Java是面向Class的。 怎...
使用squirrel进行sql拼接不生效问题
sym的博客
12-14 1817
拼接sql的时候,一般使用同一个变量不断拼接连接。但是,在使用github.com/Masterminds/squirrel包进行sql拼接时,需要多加注意:在使用变量添加sql语句后,还需要重新再赋值给该变量,否则达不到想要的结果。 如下代码: import sq "github.com/Masterminds/squirrel" func FindProviderProduct(providerID int, keyWord string) (products []*ProductInfo, err
SQL注入和XSS攻击
最新发布
02-27
<think>好的,我现在需要向用户介绍SQL注入和XSS攻击。首先,我得确保自己准确理解这两个概念,然后再用中文清晰、有条理地解释出来。用户可能对网络安全不太熟悉,所以需要避免使用太多专业术语,或者如果用了术语,要简单解释一下。 首先,SQL注入。我记得这是通过把恶意SQL代码插入到输入字段中,来攻击数据库的行为。比如,用户登录时,输入用户名和密码,如果后台没有正确处理输入,攻击者可以输入一些特殊字符改变SQL语句的结构,从而绕过登录或者获取数据。需要举一个例子,比如 ' OR '1'='1 这样的输入,导致查询条件永远为真。然后说明危害,比如数据泄露、篡改、删除,甚至获取管理员权限。防御方法的话,应该提到参数化查询、输入验证、最小权限原则等等。 接下来是XSS攻击,跨站脚本攻击。这应该是在网页中注入恶意脚本,当其他用户访问时,脚本执行,窃取信息或者会话cookie。比如,在评论框里输入<script>alert('xss')</script>,如果没有过滤,其他用户加载这个页面就会执行这个脚本。要分类型,存储型、反射型、DOM型。危害包括窃取用户会话、钓鱼攻击、篡改页面内容。防御方法包括转义用户输入、使用CSP(内容安全策略)、设置HttpOnly属性等。 需要比较两者的区别,SQL注入主要针对数据库,而XSS针对用户浏览器。攻击目标不同,手段也不同。最后总结防御的重要性,提醒用户注意安全措施。 现在要组织语言,确保结构清晰,分点说明。可能需要分两部分,分别介绍SQL注入和XSS,然后比较异同,再讲防御措施。过程中要注意使用例子帮助理解,避免过于技术化,让新手也能明白。同时检查是否有错误,比如参数化查询和预编译语句是否正确,XSS的类型是否描述准确。 可能还需要验证一些细节,比如SQL注入的例子是否正确,XSS的三种类型是否名称正确,防御措施是否有遗漏。比如,参数化查询是否属于预编译语句的一部分,输入验证应该包括白名单过滤和转义特殊字符。对于XSS,转义HTML标签,使用CSP防止执行外部脚本,HttpOnly防止cookie被窃取。 最后确保用中文表达,口语化,但保持专业准确。分段落,每个部分有小标题或者重点标记,但用户要求使用中文,可能用序号或者加粗。不过用户要求不要用markdown,所以用自然分段即可。检查是否有使用$...$和$$...$$的情况,这里应该不需要,因为是中文解释概念,不是数学公式。 总结思考过程,确保覆盖定义、原理、例子、危害、防御,以及两者的区别,这样用户就能全面了解SQL注入和XSS攻击了。</think>以下是关于SQL注入和XSS攻击的通俗解释: --- ### 一、SQL注入攻击 **定义** 通过构造恶意SQL语句,非法操作数据库的攻击方式。主要针对Web应用与数据库的交互环节。 **攻击原理** 当用户输入的数据被直接拼接SQL查询语句中时,攻击者可通过输入特殊字符改变原SQL逻辑。 例如登录场景: 原始SQL:`SELECT * FROM users WHERE username='[输入1]' AND password='[输入2]'` 攻击者输入: - 用户名:`admin' --` - 密码:任意值 最终SQL变为: `SELECT * FROM users WHERE username='admin' --' AND password='123'` (`--`在SQL中表示注释,直接绕过密码验证) **经典攻击载荷** `' OR 1=1 --` 可使查询条件永真,直接登录成功 **危害等级** - 数据泄露(如用户信息、交易记录) - 数据篡改(修改商品价格) - 数据删除(清空数据库表) - 服务器控制(通过数据库提权) **防御方案** 1. 参数化查询(预编译语句):`PreparedStatement` 2. 输入过滤:过滤`'`、`"`、`--`等特殊符号 3. 最小权限原则:数据库账户禁止使用管理员权限 4. 错误信息隐藏:不返回详细SQL报错信息 --- ### 二、XSS攻击(跨站脚本攻击) **定义** 通过注入恶意脚本代码,在受害者浏览器中执行的攻击方式。主要针对网页内容展示环节。 **攻击原理** 当网站未对用户输入内容进行过滤时,攻击者可将JavaScript代码嵌入到网页中。其他用户加载该页面时,恶意脚本自动执行。 **常见场景** 1. 评论区输入:`<script>alert('你的Cookie是:'+document.cookie)</script>` 2. 商品详情页:注入虚假支付表单 3. 用户昵称设置:存储型XSS持续影响所有访问者 **三大类型** - **存储型XSS**:恶意脚本永久存储在服务器(如论坛发帖) - **反射型XSS**:通过URL参数临时反射给受害者(如钓鱼链接) - **DOM型XSS**:通过修改页面DOM树触发(不经过服务器) **危害表现** - 窃取用户Cookie实现会话劫持 - 伪造钓鱼页面诱导输入敏感信息 - 网页挂马(自动下载木马程序) - 篡改页面内容(如插入虚假公告) **防御方案** 1. 输入输出过滤:转义`<`、`>`等HTML特殊字符 2. 内容安全策略(CSP):限制脚本来源 3. HttpOnly属性:防止JavaScript读取Cookie 4. 前端渲染框架:Vue/React自动转义模板内容 --- ### 三、核心区别对比 | | SQL注入 | XSS攻击 | |----------|----------------------------------|-------------------------------| | 攻击目标 | 数据库 | 浏览器中的其他用户 | | 攻击载体 | SQL查询语句 | HTML/JavaScript代码 | | 利用场景 | 登录、搜索等数据库交互环节 | 内容展示页面(评论区、个人资料)| | 直接危害 | 数据泄露/篡改 | 用户会话劫持/前端钓鱼 | --- ### 四、防御重要性 根据《2023年网络安全报告》: - 约34%的Web漏洞与注入攻击相关 - 单个数据泄露事件平均损失达$4.45百万美元 - 90%的XSS攻击可通过基础防护手段避免 建议开发者: 1. 对所有用户输入视为不可信数据 2. 使用成熟的安全框架(如Spring Security) 3. 定期进行渗透测试与代码审计 理解这些攻击原理,是构建安全系统的第一步。无论是开发网站还是日常上网,保持安全意识都至关重要。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值