【很有料】浅析Statement和PreparedStatement,SQL注入

已于 2023-05-30 15:03:11 修改
阅读量452 收藏 1
点赞数 1
分类专栏: jdbc 文章标签: sql 数据库 mybatis
于 2022-10-19 00:16:48 首次发布
原文链接:https://www.jianshu.com/p/643866408bb7
版权

一、SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;

假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and pasword = 'XXX',XXX为传入的用户名和密码,根据sql返回的结果判断登录是否成功;(方便解释,简单处理)

这条sql是预先拼接好然后提交给数据库执行的,假设我们把password的内容改为1' or '1' = '1注意里面的单引号!如果登录名为caojiantao,那么最终生成的sql便是:

select * from user where username = 'caojiantao' and pasword = '1' or '1' = '1'

!!这样一来不用知道用户caojiantao的密码也能够登录成功了,更有甚者,在密码处输入"1';drop table user;",直接删除了数据表,十分的危险。

这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。

二、Statement

JDBC核心接口,对象用于将SQL语句发送到数据库中。一个简单的demo演示Statement的使用;

    public static void main(String[] args) {
        // 数据库配置
        String url = "jdbc:mysql://127.0.0.1/ssm";
        String name = "com.mysql.jdbc.Driver";
        String user = "root";
        String pasword = "Cjt00382114.";
        // 登录账号密码
        String username = "caojiantao";
        String pswd = "123";
        // 拼接sql
        String sql = "select * from user where username = '" + username + "' and pasword = '" + pswd + "'";
        try {
            // jdbc操作
            Class.forName(name);
            Connection connection = DriverManager.getConnection(url, user, pasword);
            // Statement
            Statement statement = connection.createStatement();
            ResultSet resultSet = statement.executeQuery(sql);
            while (resultSet.next()){
                System.out.println(resultSet.getString("nickname"));
            }
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }
    }

代码很简单,判断用户名和密码是否匹配,匹配则输出用户的nickname昵称;

根据上面sql注入的问题,我们试着把pwd传入1' or '1' = '1,前面的1可以随便填,运行程序可以发现输出了用户昵称曹建涛,说明sql注入成功,那么,我们该怎么避免呢?

三、PreparedStatement

采用字符串匹配?筛选sql命令字符串?没那么麻烦,JDBC已经有现成的处理方案了,那就是PreparedStatement

PreparedStatement继承自Statement,字面可译为声明,强调一个预,内部包含一个预编译的sql语句,参数采用占位符?进行填充,还是看一段代码体会下;

    public static void main(String[] args) {
        // 数据库配置
        String url = "jdbc:mysql://127.0.0.1/ssm";
        String name = "com.mysql.jdbc.Driver";
        String user = "root";
        String pasword = "Cjt00382114.";
        // 登录账号密码
        String username = "caojiantao";
        String pswd = "123";
        String preSql = "select * from user where username = ? and pasword = ?";
        try {
            // jdbc操作
            Class.forName(name);
            Connection connection = DriverManager.getConnection(url, user, pasword);
            // PreparedStatement
            PreparedStatement preparedStatement = connection.prepareStatement(preSql);
            preparedStatement.setString(1, username);
            preparedStatement.setString(2, pswd);
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()){
                System.out.println(resultSet.getString("nickname"));
            }
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }
    }

我们可以修改pwd内容为1' or '1' = '1,运行程序没有任何输出,说明PreparedStatement有效地避免了sql注入问题;

因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!

上述摘自java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!!

因为是继承关系,因而Statement具备的PreparedStatement全都有,而且PreparedStatement还具备独有的预处理功能,相比StatementPreparedStatement好处有三:

  1. 提高代码的可读性,便于维护;
  2. 提高了sql执行效率;
  3. 增强了安全性,避免sql注入;

四、花絮——myBatis的 # 和 $

# 相当于对数据 加上 双引号,$ 相当于直接显示数据。

一句话言简意赅。分条陈述:

  1. # 能够sql注入问题,$ 不行;
  2. $ 用于传入数据库对象,例如表名;
  3. 能用 # 就不要使用 $;




转自:https://www.jianshu.com/p/643866408bb7

daobuxinzi
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java中PreparedStatementStatement详细讲解
08-25
Java 中的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能...
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
sjs52406的博客
12-02 1553
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
Statement和PreparedStatement的区别
一只大鹏鹏的博客
07-21 1万+
区别: 1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持...
SQL注入以及PreparedStatement对象详解
最新发布
weixin_46377946的博客
03-31 179
什么是SQL注入sql存在漏洞,会被攻击导致数据泄露。SQL会被拼接百度百科详解SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此实现数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。代码实现。
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2196
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
【Java】JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
weixin_50223520的博客
11-29 1933
JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
Statement和PreparedStatement的区别/PreparedStatementStatement比较的优点
a_zhang8888的博客
06-18 782
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8250
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
浅析SQL注入.ppt
10-27
在Java Web开发中,SQL注入常常源于对PreparedStatement对象的不当使用。开发者应该使用PreparedStatement的setString等方法来设置参数,而不是直接将字符串拼接。例如,如果使用以下代码: ```java String sql = ...
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
statement 、prepareStatement的用法和解释
热门推荐
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 843
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2938
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
PreparedStatementStatement关系和区别的简单概述
sss111166的博客
06-23 1728
PreparedStatementStatement关系和区别的简单概述
JDBC中使用PreparedStatement执行SQL语句并管理结果集
机械键盘侠博客
10-31 2743
基本说明 1、使用PreparedStatement在对反复操作多条结构相似的SQL语句时效率更高,并且可以使用参数替代变量,可以防止SQL注入。 2、PreparedStatement也提供了 execute() 、 executeUpdate() 、 executeQuery() 三个方法来执行crud操作,这三个方法无需传递参数,因为PreparedStatsments已经存储了预...
Statement和PreparedStatement的区别与联系
qq_44456779的博客
07-18 1250
下面简要说明一下他们的区别与联系: 联系: 1.PreParedStatementStatement接口的子接口 2.PreParedStatementStatement都可以实现对数据表的CRUD操作:增删改查 区别: 1.PreparedStatement 可以规避 Statement弊端:①拼串 ②sql注入问题 2.PreparedStatement 可以实现操作Blob类型的数据 3...
【JDBC】解决SQL注入问题以及Statement和PreparedStatement对比
为技术发烧而生
09-05 176
只要用户提供的信息不参与sql语句的编译过程,问题就解决了。即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,不起作用。用户输入的信息中包含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而达到sql注入。PreparedStatement是先对sql语句进行预编译,然后再传入变量值,预编译中的待传参数部分用?
使用statement和preparedStatement执行sql语句的代码示例
03-25
以下是使用Statement和PreparedStatement执行SQL语句的代码示例: 1. 使用Statement执行SQL语句[^1]: ```java import java.sql.*; public class StatementExample { public static void main(String[] args) { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值