为啥jdbc问号占位符可以防注入

最新推荐文章于 2021-01-21 12:31:41 发布
最新推荐文章于 2021-01-21 12:31:41 发布
阅读量1.3k 收藏
点赞数
文章标签: jdbc 防注入

最近几天探讨一下关于sql注入的问题,以前林老师也讲过,现在总结一下,

其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。

建议使用instr()函数,本文主要记录一下处理防止注入的源码,为什么用?可以防注入,而拼接的sql可以注入。

先看下面用占位符来查询的一句话

String sql = "select * from administrator where adminname=?";
psm = con.prepareStatement(sql);

String s_name ="zhangsan' or '1'='1";
psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名,

用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?

首先,setString()的源码中只有方法名字,并没有任何过程性处理,

那么答案肯定出现在Java到数据库这个过程中,也就是mysql和oracle驱动包中,在mysql驱动包中,PreparedStatement继承并实现了jdk中的setString方法,翻看一下源码,主要是做了转义处理,

也就是原因在于数据库厂商帮你解决了这个问题,下面就看看这个方法的具体实现:

    public void setString(int parameterIndex, String x)
            throws SQLException
        {
            if(x == null)
            {
                setNull(parameterIndex, 1);
            } else
            {
                checkClosed();
                int stringLength = x.length();
                if(connection.isNoBackslashEscapesSet())
                {
                    boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
                    if(!needsHexEscape)
                    {
                        byte parameterAsBytes[] = null;
                        StringBuffer quotedString = new StringBuffer(x.length() + 2);
                        quotedString.append('\'');
                        quotedString.append(x);
                        quotedString.append('\'');
                        if(!isLoadDataQuery)
                            parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                        else
                            parameterAsBytes = quotedString.toString().getBytes();
                        setInternal(parameterIndex, parameterAsBytes);
                    } else
                    {
                        byte parameterAsBytes[] = null;
                        if(!isLoadDataQuery)
                            parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                        else
                            parameterAsBytes = x.getBytes();
                        setBytes(parameterIndex, parameterAsBytes);
                    }
                    return;
                }
                String parameterAsString = x;
                boolean needsQuoted = true;
                if(isLoadDataQuery || isEscapeNeededForString(x, stringLength))
                {
                    needsQuoted = false;
                    StringBuffer buf = new StringBuffer((int)((double)x.length() * 1.1000000000000001D));
                    buf.append('\'');
                    for(int i = 0; i < stringLength; i++)
                    {
                        char c = x.charAt(i);
                        switch(c)
                        {
                        case 0: // '\0'
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case 10: // '\n'
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case 13: // '\r'
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case 92: // '\\'
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case 39: // '\''
                            buf.append('\\');
                            buf.append('\'');
                            break;
                        case 34: // '"'
                            if(usingAnsiMode)
                                buf.append('\\');
                            buf.append('"');
                            break;
                        case 26: // '\032'
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        default:
                            buf.append(c);
                            break;
                        }
                    }
                    buf.append('\'');
                    parameterAsString = buf.toString();
                }
                byte parameterAsBytes[] = null;
                if(!isLoadDataQuery)
                {
                    if(needsQuoted)
                        parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                    else
                        parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                } else
                {
                    parameterAsBytes = parameterAsString.getBytes();
                }
                setInternal(parameterIndex, parameterAsBytes);
                parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;
            }
        }
 

程宇寒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL语句填充占位符
04-22
SQL语句填充占位符是一种编程技术,它允许我们创建一个带有占位符的静态SQL模板,然后在运行时根据实际参数动态地替换这些占位符。这种方法提高了代码的可读性和安全性,减少了手动构造SQL字符串的需求。 在Java中...
jdbc问号占位符的详细分析
码农研究僧的博客
08-31 5216
目录前言实战 前言 先写sql语句框架 一个问号代表一个占位符,之后占位符接收一个值 占位符不可使用双引号或者单引号 获取占位符,给占位符传值,通过setString等方法 之所以要用问号占位符,在发送sql语句框架给DBMS,DBMS对sql语句框架进行预编译。 如果没有用占位符,正常执行编译信息,如果含有sql关键字,会将其编译,而执行有bug,出现sql注入等情况程序执行到此处,会发送 主要结合jdbc中的步骤 改掉某个步骤 如代码所示 // 3、获取预编译的数据库操作对象 // sql语句的框架
jdbc-占位符
码_龙的博客
05-23 3440
package com.oracle.jdbc.mysql; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.IOException; import java.sql.Connection; import java.
java-JDBC中?占位符的使用问题,?占位符不可用来设置字段名,表明等。
qq_38339561的博客
12-19 7324
Class.forName(“com.mysql.jdbc.Driver”); con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/selldb”,“root”,“root”); String sql = “select sum(?) a,sum(?) b from sell”; ops = con.prepareState...
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(sql注入方式)
10-01
)是占位符JDBC会自动处理用户输入的数据,确保它们被安全地作为参数传递,而非直接拼接到SQL字符串中。 此外,为了提高代码的可读性和复用性,我们可以创建一个JDBC工具类,封装数据库连接、关闭资源等常用操作...
JDBC的常用方法
12-14
// 使用问号占位符的SQL语句 String sql = "select * from user where username=? and password=?"; // 创建PreparedStatement对象并预编译SQL PreparedStatement preparedStatement = connection.prepareStatement...
SpringJDBC.rar_SpringJDBC_spring jdbc
09-24
)作为占位符,通过`addInParameter()`或`addOutParameter()`方法传递参数。 2. **事务管理**: - Spring JDBC提供了基于编程和声明式的事务管理。编程式事务管理可以通过`PlatformTransactionManager`接口实现,...
JDBC.rar_jdbc登录_jdbc登录注册
09-24
)是占位符,实际值通过`setXXX()`方法设置。 3. **执行SQL查询**:对于登录功能,我们需要从数据库中检索匹配的用户名和密码。这可以通过Statement或PreparedStatement的`executeQuery()`方法实现。例如: ```...
使用JDBC中PreparedStatement时,sql语句中中文出现问号
zuisuozhe的专栏
03-22 4466
问题:自己在使用JDBC时连接数据库时,当sql语句中出现中文时,中文就变成问号,以至于不能查询。 解决:在Connection中加上:?useUnicode=true&characterEncoding=UTF-8,指明为UTF-8编码格式                  Connection connection = DriverManager.getConnection("jdbc:
sql中参数 问号占位符 和 命名参数
sutonline的博客
12-19 7491
sql中参数 问号占位符 和 命名参数Q: 在写的过程有时候会疑惑,尤其是hibernate的时候有疑惑,什么时候能用named parameter什么时候不能用?A: 从原本来说,jdbc不支持命名参数。所以在hibernate创建的criteria中使用sqlRestdiction的时候不可以使用命名参数,但是create出来的sqlQuery是可以支持的,这个主要看是每个框架自己的实现,然后
hibernate传递参数时给问号赋值
lovezhaohaimig的博客
10-23 4324
1.创建一个类 List list = (List)this.getHibernateTemplate().execute(new HibernateCallback() {                          public Object doInHibernate(Session session) throws HibernateException,
mysql jdbc 占位符_JDBC占位符报错是什么鬼啊
weixin_39588911的博客
01-21 202
该楼层疑似违规已被系统折叠隐藏此楼查看此楼import java.sql.*;import org.junit.Test;/*** 测试sql注入问题* @author Wangjianyu**/public class TextLogin {@Testpublic void testLogin() {try {login("23'or'23","2322");login2("23","232...
jdbcTemplate问号赋值
lt1051072271的专栏
04-06 1552
这里只有查询,这个问题我在网上也找了一下,但是我不知道为什么网上给的都很复杂。 下面是我的,直接上代码。 public List> getGroup(long id, int page, int rows) { String sql = "select g.id,g.gname,g.schoolname from users u,u_g ug,groups g where u.id=ug.u
jdbc占位符
最新发布
05-31
使用占位符的好处是可以避免SQL注入攻击,同时也可以提高查询性能,因为数据库可以预编译和缓存查询语句。 例如,以下是一个使用JDBC占位符的查询示例: ``` String sql = "SELECT * FROM users WHERE username = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值