[发明专利]一种实现数据库操作全面防注入的方法

说明书

本发明涉及JAVA平台技术领域，特别涉及一种实现数据库操作全面防注入的方法。本发明的方法是创建一个数据库操作工具类，在类里创建一些常用的增删改查方法，然后另创建一个专门用于防注入的方法，在增删改查方法中调用。当其它方法调用数据库操作工具类里的这些方法时，只需写入SQL语句与对应的参数即可。本发明解决了数据库操作语句容易受到注入攻击的问题。

技术领域

本发明涉及JAVA平台技术领域，特别涉及一种实现数据库操作全面防注入的方法。

背景技术

在基于JAVA平台的项目里，经常会使用底层数据库操作语句来进行数据的操作，因其速度快，不需要转换，得到工程师的喜爱。但一些初级的工程师，写出的语句不严谨，容易受到注入攻击；为了解决这个问题，需要实现一种能完全防止注入攻击且在每个常用的增删改查方法中非常容易调用的方法。

发明内容

本发明解决的技术问题在于提供一种实现数据库操作全面防注入的方法；解决了数据库操作语句容易受到注入攻击的问题。

本发明解决上述技术问题的技术方案是：

创建一个数据库操作工具类，在类里创建一些常用的增删改查方法，然后另创建一个专门用于防注入的方法，在增删改查方法中调用。当其它方法调用数据库操作工具类里的这些方法时，只需写入SQL语句与对应的参数即可。从而解决了数据库操作语句容易受到注入攻击的问题。

所述的方法具体包括如下步骤：

步骤一、创建一个数据库操作工具类及相关的变量，并初始化连接；

步骤二、在类里创建一些常用的增删改查方法，每个方法中都有可变对象参数；

步骤三、创建一个专门用于防注入的方法，把数据库语句中需要设值与条件判断的内容全部以可变对象参数的形式引入，然后在方法体中，遍历可变参数，把参数内容按照索引值进行设值；

步骤四、在每个增删改查方法中的prepareStatement(sql)语句之后调用此方法，用于把参数内容设值到语句中；

步骤五、在其它方法调用数据库操作工具里的方法时，只需写入SQL语句与对应的参数即可。

本发明的有益效果：创建一个数据库操作工具类，在类里创建一些常用的增删改查方法，然后另创建一个专门用于防注入的方法，在增删改查方法中调用。当其它方法调用数据库操作工具类里的这些方法时，只需写入SQL语句与对应的参数即可，从而达到防注入攻击的目的。有效解决了数据库操作语句容易受到注入攻击的问题。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明的流程图。

具体实施方式

如图1所示，本发明采用如下步骤：

步骤一、创建一个数据库操作工具类及相关的变量，并初始化连接；如：

@Component

public class DBUtil {

private static SqlSession sqlSession;

private static Connection conn;

private static PreparedStatement ps;

private static ResultSet rs;

@Autowired