JdbcTemplate防止sql注入攻击的源码解析

最新推荐文章于 2024-05-10 12:41:21 发布
最新推荐文章于 2024-05-10 12:41:21 发布
阅读量9.8k 收藏 9
点赞数 5
分类专栏: Java 文章标签: sql注入 spring-jdbc JdbcTemplate spring 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limenghua9112/article/details/100546185
版权

概述

使用springorg.springframework.jdbc.core.JdbcTemplate进行sql查询时,如果调用的是query(String sql, RowMapper<T> rowMapper)方法,是可以被sql注入攻击的。

会发生sql注入的查询

query(String sql, RowMapper<T> rowMapper)

源码解析

	@Override
	public <T> List<T> query(String sql, RowMapper<T> rowMapper) throws DataAccessException {
		return result(query(sql, new RowMapperResultSetExtractor<>(rowMapper)));
	}

最后执行:

		class QueryStatementCallback implements StatementCallback<T>, SqlProvider {
			@Override
			@Nullable
			public T doInStatement(Statement stmt) throws SQLException {
				ResultSet rs = null;
				try {
					rs = stmt.executeQuery(sql);
					return rse.extractData(rs);
				}
				finally {
					JdbcUtils.closeResultSet(rs);
				}
			}
			@Override
			public String getSql() {
				return sql;
			}
		}

可以看到,最终执行时使用的是Statement接口,是会发生sql注入的。

不会发生sql注入的查询

query(String sql, @Nullable Object[] args, RowMapper<T> rowMapper)

源码解析

	@Override
	public <T> List<T> query(String sql, @Nullable Object[] args, RowMapper<T> rowMapper) throws DataAccessException {
		return result(query(sql, args, new RowMapperResultSetExtractor<>(rowMapper)));
	}

调用:

	@Override
	@Nullable
	public <T> T query(String sql, @Nullable Object[] args, ResultSetExtractor<T> rse) throws DataAccessException {
		return query(sql, newArgPreparedStatementSetter(args), rse);
	}

继续调用:

	@Override
	@Nullable
	public <T> T query(String sql, @Nullable PreparedStatementSetter pss, ResultSetExtractor<T> rse) throws DataAccessException {
		return query(new SimplePreparedStatementCreator(sql), pss, rse);
	}

最后执行的代码是:

		return execute(psc, new PreparedStatementCallback<T>() {
			@Override
			@Nullable
			public T doInPreparedStatement(PreparedStatement ps) throws SQLException {
				ResultSet rs = null;
				try {
					if (pss != null) {
						pss.setValues(ps);
					}
					rs = ps.executeQuery();
					return rse.extractData(rs);
				}
				finally {
					JdbcUtils.closeResultSet(rs);
					if (pss instanceof ParameterDisposer) {
						((ParameterDisposer) pss).cleanupParameters();
					}
				}
			}
		});

可以发现,最终执行时使用的是PreparedStatement接口。PreparedStatement可以使用占位符,是预编译的,所以可以预防sql注入攻击。

环境说明

spring-jdbc版本:5.0.10.RELEASE
快乐柠檬
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6127
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBC技术详解(二)--sql注入攻击问题
Vinson.Hu
10-27 765
在上篇文章中 《 JDBC技术详解(一)--入门及其API 》,提到的使用statement对象执行字符串拼接的sql会存在注入攻击漏洞。这篇文章,我们来解决这个问题。
【MySQL数据库】丨一文详解 JdbcTemplate(Spring中的CRUD)
最新发布
陈橘又青的博客
05-10 2万+
API介绍执行查询语句,返回一个List集合,List中存放的是RowMapper指定类型的数据。使用步骤定义Product类创建JdbcTemplate对象编写查询的SQL语句使用JdbcTemplate对象的query方法,并传入RowMapper匿名内部类在匿名内部类中将结果集中的一行记录转成一个Product对象API介绍执行查询语句,返回一个List集合,List中存放的是RowMapper指定类型的数据。
JdbcTemplate的query方法防治sql注入
ai932820942的博客
05-19 2540
直接上代码 StringBuffer sql = new StringBuffer("select * from A t where t.id= ?"); PreparedStatementSetter statementSetter = new PreparedStatementSetter() { @Override public void setValues(PreparedStatement preparedStatement) throws SQLException
使用RowMapper实现接口方式queryForObject
qq_35437792的博客
06-10 2274
使用RowMapper实现接口方式 查看Spring JDBC源码,我们会发先,还提供了如下的方法: public T queryForObject(String sql, RowMapper rowMapper, Object… args) throws DataAccessException public List query(String sql, RowMapper rowMapp...
query功能的实现
weixin_30614109的博客
01-10 1072
query功能的实现 上一篇文章介绍了update方法的功能实现,那么杂数据库操作中查找操作也是使用率非常高的函数,同样我们也需要了解它的实现过程。使用方法如下: List<User> list = jdbcTemplate.query("select * from user",new UserRowMapper()); 跟踪jdbcTemplate中的query方法:...
JDBC如何有效防止SQL注入
12-14
 那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它...
有效防止sql注入的方法演示
09-08
本文将详细探讨如何有效防止SQL注入,以及展示一个具体的SQL注入攻击实例,并给出相应的防护措施。 一、SQL注入攻击背景 在B/S(Browser/Server)架构的应用程序中,SQL注入是常见的安全漏洞。当开发者没有正确地...
打印JdbcTemplate执行sql
03-18
NULL 博文链接:https://yunzhongxia.iteye.com/blog/611591
SpringjdbcTemplate 实现执行多条sql语句示例
08-31
本文将详细解释如何使用JdbcTemplate来执行多条SQL语句,以及其在事务管理中的作用。 首先,JdbcTemplate的`batchUpdate`方法是用于批量执行SQL语句的,如示例所示。在上述代码中,`batchUpdate`接收一个SQL语句的...
Spring源码解析】事务流程解析
12-22
1、定义 以方法为单位,进行事务控制;抛出异常,事务回滚。最小的执行单位为方法。决定执行成败是通过是否抛出异常来判断的,抛出异常即执行失败。 2、代码 (1) mysql建表语句 CREATE TABLE `t_student` ( ...
带你在项目中玩转设计模式之模板模式(JdbcTemplate为例,Service层实际案例)
Janson_Lin
03-22 892
一、模板方法模式是什么?有哪些应用场景? 模板方法模式定义了一个算法的步骤,并允许子类别为一个或多个步骤提供其实践方式。让子类别在不改变算法架构的情况下,重新定义算法中的某些步骤。它适应的场景有:一次性实现一个算法的不变的部分,并将可变的行为留给子类来实现;各子类中公共的行为被提取出来并集中到一个公共的父类中,从而避免代码重复。(百度百科)。 看到定义或许会很迷糊,我们可以通过例子说明,其实模板模式的一个典型的应用就是SpringJdbcTemplate,这是一个经典的模板模式,我们就以Spring
Spring5——JdbcTemplate
来杯奶茶
10-23 703
JdbcTemplate概念 1、什么是JdbcTemplat (1)Spring框架对JDBC进行封装,使用JdbcTemplate方便实现对数据库操作 2、准备工作 (1)引入相关jar包 (2)在spring配置文件配置数据库连接池 <!-- 数据库连接池 --> <bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" destroy-method="close...
Spring JdbcTemplate使用详解
谦虚使人发胖的博客
04-23 1万+
JdbcTemplate简介  Spring对数据库的操作在jdbc上面做了深层次的封装,使用spring的注入功能,可以把DataSource注册到JdbcTemplate之中。  JdbcTemplate位于中。其全限定命名为org.springframework.jdbc.core.JdbcTemplate。要使用JdbcTemlate还需一个这个包包含了一下事务和异常控制  JdbcTem...
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
spring jdbc多条件查询(参数化传参,防止sql注入风险)
F & Q的专栏
01-25 1万+
public List getAllOperator(int toPage, int pageSize, String login, String name, String oper_group_id, int state) { String sql = "select p.id, p.login,p.password,p.name,p.email,
防止SQL注入
weixin_33873846的博客
03-28 189
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
JDBC:使用PreparedStatement防止SQL注入
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
jdbcTemplatesql注入
07-15
为了防止 SQL 注入攻击,使用 JdbcTemplate 时可以采取以下几个措施: 1. 使用参数化查询:将用户输入的数据作为参数传递给 SQL 查询语句,而不是将用户输入直接拼接到 SQL 语句中。这样可以避免恶意用户通过输入特殊字符来改变原始的 SQL 查询逻辑。 2. 使用预编译语句:预编译语句可以将 SQL 查询语句和参数分开,数据库会对查询语句进行预编译,避免了用户输入的数据对 SQL 查询语句的干扰。 3. 输入验证和过滤:在接收用户输入数据之前,进行输入验证和过滤。可以使用正则表达式或其他方法来验证输入的数据是否符合预期的格式,并对不符合要求的数据进行过滤或拒绝。 4. 使用 ORM 框架:如果可能的话,可以考虑使用 ORM(对象关系映射)框架,如 Hibernate 或 MyBatis。ORM 框架会自动处理 SQL 查询和参数的转义,减少手动处理的机会。 5. 敏感字符转义:对于用户输入中的敏感字符,如单引号、双引号等,进行转义处理,将其转换为数据库能够接受的形式。这样可以避免用户输入的特殊字符被误解为 SQL 语句的一部分。 请注意,虽然这些措施可以减少 SQL 注入的风险,但并不能完全消除。因此,在编写 SQL 查询时,仍然应该遵循最佳实践,如限制数据库账户的权限、定期更新软件补丁等来增加数据安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值