oracle 通过jdbc预编译sql防止sql注入。预编译的具体方法

项目需要出安全扫描报告，但是每次都有40左右高危漏洞

为了 解决漏洞，最小的代价是用预编译方式查询sql，不用String拼接的方式。

1、最常见的是sql参数用  ? 英文问号代替  参数直接依次放在jdbc的api后面

注：execute  与update区别是前面的不能加参数，后面的可追加参数

2、如果sql参数数目不固定、或者sql 中有in关键字的要用Map 将参数用：Key的形式书写，value放入Map，最后在api中只调用一个Map

例子如下

List A00List = Arrays.asList(A00.split(","));
Map paramMap = new HashMap();
paramMap.put("A00List", A00List);

String sql =“update Tal_Review_Expert_R set REVIEWSTATE=0 where puserid in (:A00List) “

this.jdbcOperations.update(UpdateRERSql, paramMap);

3、如果jdbc调用的是 executeQuery，用下面的方法

//采用预处理方式，解决executeQuery无法添加参数问题
        PreparedStatement prestmt = connection.prepareStatement(sqliteSql);
        prestmt.setString(1,tblname[i]);
        prestmt.setString(2,puserid);
        ResultSet rSet=prestmt.executeQuery();

4、待解决问题，in中是否可以放置两个键，batchUpdate（批量更新）是否可以传paramMap

欢迎一起讨论