jdbc不能使用占位符代表表名及其解决方法

最新推荐文章于 2024-05-31 17:32:42 发布
最新推荐文章于 2024-05-31 17:32:42 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: Spring 文章标签: SQL注入 预编译查询 安全性 表名验证 占位符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/artisan_w/article/details/126359954
版权

jdbc不能使用占位符代表表名

jdbc执行sql时面临使用statement还是prepareStatement,其中statement写的简单不过会有sql注入最后安全检查不过。prepareStatement就不会,因为使用了占位符?,像myBatis也是占位符,就不会有sql注入。
不过?只能替换值,不能替换表名。比如select * from ? where id = ‘1’, 执行prepareStatement结果是不对的。诸多原因,编译上的,还有?其实两边默认有单引号。那如何prepareStatement使用占位符替换表名呢?
答案简单的说,没有!

不要试图用啥单引号替换,string拼接啥的,要么做不到要么无法避免sql注入。
结论就是只能用白名单,检查表名
解决方法:
您唯一安全的方法是验证用户输入。不过,最安全的方法不是验证它并允许用户输入通过数据库,因为从安全的角度来看,您总是可以指望用户比您的验证更聪明。永远不要相信动态的、用户生成的字符串,连接在你的语句中。
那么什么是安全验证模式?
模式 1:预构建安全查询
1)在代码中一劳永逸地创建所有有效语句。

Map<String, String> statementByTableName = new HashMap<>();
statementByTableName.put("table_1", "DELETE FROM table_1 where name= ?");
statementByTableName.put("table_2", "DELETE FROM table_2 where name= ?");

如果需要,这个创作本身可以通过select * from ALL_TABLES;声明来动态化。ALL_TABLES将返回您的 SQL 用户有权访问的所有表,您还可以从中获取表名和模式名称。
2)选择Map里面的语句

String unsafeUserContent = ...
String safeStatement = statementByTableName.get(usafeUserContent);
conn.prepareStatement(safeStatement, name);

看看unsafeUserContent变量如何永远不会到达数据库。
3)制定某种策略或单元测试,以检查您的所有内容statementByTableName是否对您的模式有效,以供其未来发展,并且没有丢失任何表。
模式:双重检查
您可以 1) 验证用户输入确实是一个表名,使用无注入查询(我在这里输入伪 sql 代码,您必须对其进行调整以使其正常工作,因为我没有实际检查的 Oracle 实例有用) :

select * FROM 
    (select schema_name || '.' || table_name as fullName FROM all_tables)
WHERE fullName = ?

并在此处将您的 fullName 绑定为准备好的语句变量。如果您有结果,那么它是一个有效的表名。然后,您可以使用此结果来构建安全查询。
模式 3
它是 1 和 2 之间的混合。您创建一个名为“TABLES_ALLOWED_FOR_DELETION”的表,然后用所有适合删除的表静态填充它。
然后你让你的验证步骤成为
conn.prepareStatement(SELECT safe_table_name FROM TABLES_ALLOWED_FOR_DELETION WHERE table_name = ?", unsafeDynamicString);
如果这有结果,则执行 safe_table_name。为了更加安全,标准应用程序用户不应写入此表。
我不知何故觉得第一种模式更好。
您可以通过使用正则表达式检查表名来避免攻击:

if (fullTableName.matches("[_a-zA-Z0-9\\.]+")) {
    final PreparedStatement stmt = connection
                .prepareStatement("delete from " + fullTableName
                    + " where name= ?");
    stmt.setString(1, addressName);
}

使用这样一组受限制的字符来注入 SQL 是不可能的。

此外,我们可以从表名中转义任何引号,并将其安全地添加到我们的查询中:

fullTableName = StringEscapeUtils.escapeSql(fullTableName);
final PreparedStatement stmt = connection
            .prepareStatement("delete from " + fullTableName
                + " where name= ?");
stmt.setString(1, addressName);

StringEscapeUtils 带有 Apache 的 commons-lang 库。

Artisan_w
关注
专栏目录
用spark连接sql数据库,报错,如何解决
**My Coding Family**
07-29 1265
🏆本文收录于《CSDN问答解惑-专业版》专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
关于jdbc中处理sql语句的引号问题笔记
mitsuhaqq的博客
04-22 1584
今天在学习jdbc的时候,发现java中定义的sql语句有时候会有些引号上的问题 所以进行研究。 package com.nd.jdbc; import java.sql.*; import java.util.Scanner; public class biji { public static void main(String[] args) { Connection conn = null; PreparedStatement ps = null;
jdbc,prepareStatement表名为变量时无法使用占位符‘?’
daggerin7的博客
12-21 1985
java操作有些数据库比如clickhouse暂时还用的是jdbc,执行sql时面临使用statement还是prepareStatement,其中statement写的简单不过会有sql注入最后安全检查不过。prepareStatement就不会,因为使用占位符,?,像myBatis也是占位符,就不会有sql注入。 不过?只能替换值,不能替换表名,诸多原因,编译上的,还有?其实两边默认有单引号。那如何prepareStatement使用占位符替换表名呢? 答案简单的说,没有! 参考sql - Ho
开发这么久你真知道for循环内部执行顺序吗?
狼魂之力
10-28 615
for(System.out.print('a');num <= 3;System.out.print('c'),num++){ System.out.print('b'); } abcbcbc for循环的执行顺序产生了疑问,难道不是按顺序将小括号内部的语句执行完毕再执行循环体内部语句吗? 实际上for循环语句的执行顺序按照以下语句为:语句1->语句2->循环体内部语>语句3… for(语句1;语句2;语句3){ 循环体内部...
JDBC预编译语句表名占位异常
weixin_34252686的博客
04-04 225
有时候,我们有这样的需求,需要清空多个表的内容,这样我们有两种做法,可用delete from table 或 truncate table table,两种方法视情况而定,前者只是一条条的删除表数据,主键自增的序列还能保存,后者类似是重新建表保留表结构,主键信息,也被清空。 OK,下面我们用JDBC开始删除,因为是多个表,所以要循环删除,根据以往的经验,使用预编译的sql语句,可能执行效率会更...
java的JDBC占位符使用问题, PreparedStatement 的 ?占位符不可用来设置字段名,表名
qq_45401638的博客
10-28 5450
1. 博主今天被一个问题给困扰半天 就是当 String sql = "select * from user where ?=? "; 在jdbc中的sql语句这样写的时候 控制台 一条数据都查询不出来,究其原因就是?不能作为字段名和表名占位符 PreparedStatement会为占位符?的两边自动加上单引号,这样会使得SQL语句不可执行,比如使用表名设置为占位符数据库执行sql语...
基于MyBatis框架所遇到的常见问题及其解决方法
weixin_49187233的博客
08-16 1921
一、MyBatis是什么? 1.1、概述 Mybatis是一个优秀的开源、轻量级持久层框架,它对JDBC操作数据库的过程进行封装,简化了加载驱动、创建连接、创建 statement 等繁杂的过程,使开发者只需要关注sql本身。 我们原来使用JDBC操作数据库,需要手动的写代码去注册驱动、获取connection、获取statement等等,现在Mybaits帮助我们把这些事情做了,我们只需要关注我们的业务sql即可,这样可以提高我们的开发效率。 MyBatis属于半自动的ORM框
使用JDBC进行数据访问【springframwork】定义.pdf
11-23
这是对JdbcTemplate的扩展,它引入了命名参数的概念,替代了传统的占位符"?",使得SQL语句的参数更易于理解和维护,特别是在处理大量参数时。该类需要JDK 1.4或更高版本。 3. **SimpleJdbcTemplate**: ...
Spring源码之使用JDBC访问数据 Data access with JDBC
AnY11的专栏
01-02 489
19.1 Introduction to Spring Framework JDBC Spring Framework JDBC抽象提供的增值功能可能最好由下表中列出的一系列操作来显示。该表显示了Spring将处理哪些操作,以及哪些操作是应用程序开发人员的职责。 Table 19.1. Spring JDBC - who does what? Action Spring You ...
Spring_jdbc模板相关jar包(连接文件版本:5.1.47)
01-11
最后,除了基础的JDBC操作,Spring还提供了`NamedParameterJdbcTemplate`,它允许使用命名参数而不是占位符,使得SQL语句更易读。另外,`JdbcOperations`和`JdbcTransactionManager`接口/类提供了更高级的功能,如...
JAVA——prepareStatementSQL语句中占位符(?)替换表名和字段名
无限迭代中......
01-11 5386
基本概念 PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 问题描述 1.根据测试占位符?不能用于表名 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"per...
mysqljdbc防止注入占位符_oracle迁移改造成mysql遇到的那些坑--占位符引起的mysql-jdbc驱动包中表名映射出现错误...
weixin_35552251的博客
01-28 141
近期项目组要把oracle数据库迁移改造成mysql数据库,同时也涉及到了后台java代码的改造,因此在迁移过程中遇到了各种坑。今天讲述一个java代码开发过程中,因为mysql-jdbc驱动包中DatabaseMetaDataUsingInfoSchema类的某个方法导致的表名映射错误。表命名时常常会使用下划线来分隔,比如普通表名以t_开头,表示为table,命名规则为t_模块名(或有意义的简写...
java-JDBC中?占位符使用问题,?占位符不可用来设置字段名,表明等。
qq_38339561的博客
12-19 7354
Class.forName(“com.mysql.jdbc.Driver”); con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/selldb”,“root”,“root”); String sql = “select sum(?) a,sum(?) b from sell”; ops = con.prepareState...
JDBC常见异常(10)—预编译模式下占位符动态排序字段失效
最新发布
梦凝哲雪
05-31 426
PreparedStatement占位符防止SQL注入的原理是,在为占位符设置值时,会将值转为字符串,然后转义,再将值放入反引号中,放置在占位符的位置上。执行SQL时,如果order by之后的排序字段使用占位符,通过setString设置值的话,会导致排序失效。需要根据不同的列进行对应的排序操作,实现动态列名排序 类似🐟动态查询或更新。,导致排序失效,甚至任意的注入数值都不影响前面的查询结果。因此,当排序字段使用占位符后,原来的排序语句。但是JDBC预编译模式下占位符的排序字段失效。
java动态拼接表名,如何在使用JDBC的SELECT查询中使用动态表名
weixin_31764905的博客
02-23 951
I have 5 or table table to query from \my syntax i like thisString sql2 = "SELECT * FROM ? WHERE Patient_ID = ?";pst = conn.prepareStatement(sql2);System.out.println("SQL before values are set "+sql2)...
PreparedStatement不能用来设置表名、字段名
曹利荣的博客
01-25 1202
今天动手写课程设计,JDBC某处用到PreparedStatement,最初想将表名、字段名、字段值都作为参数用?代替,可是实践之后发现行不通。 最初想这样写: preparedStatement = connection.prepareStatement("select * from ? where ?=?"); preparedStatement.setString(1, tableNa...
mysql的动态sql实现变量表名占位符使用
热门推荐
づ開始懂了的博客
01-25 1万+
MySQL 在存储过程中是不支持直接使用变量名作为表名或者是列名的,而在实际的应用中确实会用到变表名或者变量名的情况,如数据量很大的时候就会用到分表。通过在网上查了mysql 5.1以上的版本提供了prepare语句用于支持这种操作。参考http://blog.csdn.net/shark1682003/article/details/17785095博客的内容,完成了动态表名的查询。具体实现是通过
JDBC使用占位符插入数据报错MySQLSyntaxErrorException: You have an error.....syntax to use near '?,?)'
duan9015的博客
01-20 1481
JDBC使用占位符插入数据报错:com.mysql.jdbc.exceptions.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use ne
java jdbc添查,搜索/插入查询jdbc中的反斜杠(\)和引号(')
weixin_42389478的博客
02-25 439
I am using JDBC with cratedb(which almost uses PSQL protocols). It happens that when I try to execute a query like thisString query = "select * from test where col1='dhruv\'";It gives me Parser except...
jdbc中的?占位符
07-27
通过使用占位符,我们可以避免直接在SQL语句中拼接参数值,从而提高代码的安全性和可维护性。同时,占位符还可以帮助数据库优化执行计划,提高查询性能。 在使用JDBC的时候,可以通过PreparedStatement对象来使用?...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值