使用PreparedStatement防止SQL注入
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.
SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构绕过验证,但这种手段只对Statement有效,对PreparedStatement无效.
如果有一条SQL语句: "SELECT * FROM test WHERE name = 'admin' ANDpassword = admin";
Statement的SQL语句是这样写的: ""SELECT * FROM testWHERE name = '" + name + "' AND password ='" + password + "'";
PreparedStatement的SQL语句是这样写的: "SELECT * FROM test WHERE name = ? and password = ?"; 然后对应?赋值
这样我们就发现输入用户名:'or'1=1'#,密码随意输
Statement是将这个和SQL语句做字符串连接到一起执行,变成了SELECT * FROM admin WHERE `name` = ''OR'1=1'# AND `password` ='admin',而#后面的在MySQL中会被当做注释,所以这句话就是SELECT * FROM admin WHERE `name` = ''OR'1=1',永远都能登陆成功。
PreparedStatement是将'or'1=1'# 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.
实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.
两个源代码:
运行时需建立名字为test1的数据库,里面有名字为test的表,表里面有name,password列,值分别为admin,admin。
一:Statement的SQL注入:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;
public class Test {
}
二:PreparedStatement的防SQL注入
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;
public class Test1 {
}