Statement和PreparedStatement --- 防止sql注入

最新推荐文章于 2023-12-02 08:18:30 发布
最新推荐文章于 2023-12-02 08:18:30 发布
阅读量1.7k 收藏 3
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/my_momo_csdn/article/details/88532617
版权

一、SQL注入

  • 这两者的区别有好几点,比如预编译,防止sql注入是其中最大的一点,这里通过几个例子和简单的解析来探究PreparedStatement是如何防止sql注入的。

二、数据库记录如下:

idplayNameplayNoteam
1Kobe Brayent8laker
2Lebron James23laker
3Tim Duncan21spurs
4leonard2raptors
5Stephen Curry30warriors
6Klay Thompson11warriors

三、代码验证:

  • 下面通过一段代码来查询该数据库,通过传入一个正确的名称和一个伪造的包含sql注入的名称去查询数据库,看Statement和PreparedStatement二者查询的区别。
     public static void main(String[] args) {
             String nameRight = "Lebron James"; //模拟用户输入正确的名称
             String fakeName = "Lebron Jamesxxx' or '1 = 1 "; //模拟用户输入错误的名称
             int resultOfRightNameStatement = searchByName(nameRight, false); //使用Statement查询正确的名字
             int resultOfFakeNameStatement = searchByName(fakeName, false); //使用Statement查询错误的名字
             int resultOfRightNamePs = searchByName(nameRight, true); //使用PreparedStatement查询正确的名字
             int resultOfFakeNamePs = searchByName(fakeName, true); //使用PreparedStatement查询错误的名字
             System.out.println("使用Statement查询正确的sql, 查询总数为:" + resultOfRightNameStatement);
             System.out.println("使用Statement查询错误的sql,查询总数为:" + resultOfFakeNameStatement);
             System.out.println("使用PreparedStatement查询正确的sql, 查询总数为:" + resultOfRightNamePs);
             System.out.println("使用PreparedStatement查询错误的sql,查询总数为:" + resultOfFakeNamePs);
         }
     
         public static int searchByName(String username, boolean safe) {
             int count = 0;
             try {
                 Class.forName("com.mysql.jdbc.Driver");
                 Connection conn = DriverManager.getConnection(DB_URL, USER, PASS);
                 String sql;
                 ResultSet rs = null;
                 if (safe) {
                     //使用PreparedStatement
                     sql = "SELECT * FROM tb_player where playName= ?";
                     PreparedStatement preparedStatement = conn.prepareStatement(sql);
                     preparedStatement.setString(1, username);
                     rs = preparedStatement.executeQuery();
                 } else {
                     //使用Statement
                     sql = "SELECT * FROM tb_player where playName='" + username + "'";
                     Statement statement = conn.createStatement();
                     rs = statement.executeQuery(sql);
                 }
                 if (rs != null) {
                     while (rs.next()) {
                         count++;
                     }
                 }
                 return count;
             } catch (SQLException e) {
                 e.printStackTrace();
             } catch (ClassNotFoundException e) {
                 e.printStackTrace();
             } finally {
                 // finally block used to close resources
                 try {
                     if (stmt != null)
                         stmt.close();
                 } catch (SQLException se2) {
                 }// nothing we can do
                 try {
                     if (conn != null)
                         conn.close();
                 } catch (SQLException se) {
                     se.printStackTrace();
                 }
             }
             return -1;
         }
        
        输出:
        打印sql:SELECT * FROM tb_player where playName='Lebron James'
        打印sql:SELECT * FROM tb_player where playName='Lebron Jamesxxx' or '1 = 1 '
        打印sql:com.mysql.jdbc.JDBC4PreparedStatement@2ef1e4fa: SELECT * FROM tb_player where playName= 'Lebron James'
        打印sql:com.mysql.jdbc.JDBC4PreparedStatement@5ce65a89: SELECT * FROM tb_player where playName= 'Lebron Jamesxxx\' or \'1 = 1 '
        使用Statement查询正确的sql, 查询总数为:1
        使用Statement查询错误的sql,查询总数为:6
        使用PreparedStatement查询正确的sql, 查询总数为:1
        使用PreparedStatement查询错误的sql,查询总数为:0
分析
  • 在代码示例中,我们这样设计接口:“SELECT * FROM t_user where user_name=’”+userName+"’";
    我们看到结果是:当时传入的参数包含恶意语句时,Statement可以执行且破坏了原有的逻辑,在username错误的情况下,因为后面的or 1=1恒成立导致查询到了数据.但是PrepareStatement就不会,查询到的是0。并且我们通过打印出来的sql语句也能够看到为什么前者不能防止sql注入,因为把or 1=1当做了一个查询条件,但是后者把参数中包含的单引号做了转义处理,结果sql语义就是查找用户名为"Lebron Jamesxxx’ or '1 = 1"的用户,显然是不存在这个用户的的,因此做到了防止sql注入,那么PrepareStatement底层是不是通过这样的转义来防止sql注入的呢?

溯源

  • 我们在mysql的驱动包的PrepareStatement类下面的setString里面设置断点,然后看他对于"Lebron Jamesxxx’ or '1 = 1"的输入参数是不是做了特殊字符的转义处理。
     for(int i = 0; i < stringLength; ++i) {
                        char c = x.charAt(i);
                        switch(c) {
                        case '\u0000':
                            buf.append('\\');
                            buf.append('0');
                            break;
                        case '\n':
                            buf.append('\\');
                            buf.append('n');
                            break;
                        case '\r':
                            buf.append('\\');
                            buf.append('r');
                            break;
                        case '\u001a':
                            buf.append('\\');
                            buf.append('Z');
                            break;
                        case '"':
                            if (this.usingAnsiMode) {
                                buf.append('\\');
                            }
    
                            buf.append('"');
                            break;
                        case '\'':
                            buf.append('\\');
                            buf.append('\'');
                            break;
                        case '\\':
                            buf.append('\\');
                            buf.append('\\');
                            break;
                        case '¥':
                        case '₩':
                            if (this.charsetEncoder != null) {
                                CharBuffer cbuf = CharBuffer.allocate(1);
                                ByteBuffer bbuf = ByteBuffer.allocate(1);
                                cbuf.put(c);
                                cbuf.position(0);
                                this.charsetEncoder.encode(cbuf, bbuf, true);
                                if (bbuf.get(0) == 92) {
                                    buf.append('\\');
                                }
                            }
                        default:
                            buf.append(c);
                        }
                    }
  • 看了这段代码我们就明白了,方法内部会遍历传入的参数,一个一个字符的处理,处理完之后拼接作为新的参数,在处理的过程中对很多类型的特殊字符都会做转义处理,比如单引号会转换为’,双引号会转化为" , 转换前后起到的效果就是将之前可能传入的恶意代码给屏蔽了,为什么这么说,还是按照之前的例子:输入的用户名字是下面这样一个字符串:
	"Lebron Jamesxxx' or '1 = 1 "

如果使用Statemnent没有做特殊处理直接拼接,拼接的就是这个部分: Lebron Jamesxxx’ or '1 = 1 ,原本的sql是:

	"SELECT * FROM tb_player where playName='" + username + "'";

那么拼接完成之后就是:

	SELECT * FROM tb_player where playName='Lebron Jamesxxx' or '1 = 1';

这就刚好把后面的1=1作为了 一个条件,这个语句永远成立。
我们再来看转义之后的,Lebron Jamesxxx’ or ‘1 = 1 转义就成了:Lebron Jamesxxx’ or '1 = 1 ,然后替换?的位置就是:

	SELECT * FROM tb_player where playName= 'Lebron Jamesxxx\' or \'1 = 1',

和我们之前打印出来的一样,这样子就相当于是查找用户为Lebron Jamesxxx’ or '1 = 1的记录,肯定是没有的,这里如果有其他的特殊字符也会转义,转义之后的特殊字符就会作为条件的一部分进行处理,而不会改变sql的语义,因此很大程度上防止了sql注入。

惑边
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1235
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
preparedStatement的使用
zyp_zl的博客
12-09 925
快速使用preparedStatement
mysql PreparedStatement 占位符注意事项
云淡风轻
08-30 5255
注意事项 下标从1开始 赋值的时候不需要为字符串变量的两边加上’’ 直接ps.setString(1, “liguang”); 占位符只能替换值类型,不能替换表名、字段名或者其他关键词。 PreparedStatement会为占位符?的两边自动加上单引号,这样会使得SQL语句不可执行,比如使用将表名设置为占位符,数据库执行sql语句时,表名会用单引号引起来,这样会使得sql语句执行出错或者查询不...
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 497
参数化查询是编写安全数据库代码的最佳实践之一。
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以防止SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
防止SQL注入,Java提供了PreparedStatement接口。PreparedStatementStatement的子接口,它的主要特点是预编译SQL语句。在创建PreparedStatement对象时,我们会提供一个包含占位符(如?)的SQL模板,然后在执行时...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
08-07
总的来说,PreparedStatement和批量插入是Java数据库操作中的重要技巧,它们既能有效防止SQL注入攻击,又能提高程序运行效率。在开发过程中,我们应该养成使用PreparedStatement和批量插入的良好习惯,以确保代码的...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2598
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
关于jdbc中处理sql语句的引号问题笔记
mitsuhaqq的博客
04-22 1565
今天在学习jdbc的时候,发现java中定义的sql语句有时候会有些引号上的问题 所以进行研究。 package com.nd.jdbc; import java.sql.*; import java.util.Scanner; public class biji { public static void main(String[] args) { Connection conn = null; PreparedStatement ps = null;
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1562
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
PreparedStatement 中的setString
qq_39951411的博客
08-12 1195
PreparedStatement 中的setString
PreparedStatement中setString用法
weixin_43971862的博客
10-09 8309
源码中:void setString(int parameterIndex, String x) throws SQLException; 实际开发中,conn = DriverManager.getConnection(url, userName, password);//自己链接数据库 PreparedStatement pstmtInsert = conn.prepareStatement(“INSERT INTO student VALUES(?, ?, ?, ?)”); // 创建语句,里面的参数
在JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5389
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 291
preparement避免sql注入
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
最新发布
sjs52406的博客
12-02 1795
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
statement和preparedstatement
03-17
statement和preparedstatement都是用来执行SQL语句的接口,但是它们之间有一些重要的区别。 statement是用来执行静态SQL语句的接口,它每次执行都会将SQL语句发送到数据库服务器进行解析和执行。 preparedstatement是用来执行动态SQL语句的接口,它先将SQL语句发送到数据库服务器进行预处理,然后再执行。因为SQL语句已经预处理过了,所以执行效率更高。此外,preparedstatement还可以防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值