java 防sql preparedstatement_PreparedStatement是如何防止SQL注入的?

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量196 收藏
点赞数
文章标签: java 防sql preparedstatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32323465/article/details/114763240
版权

为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。

首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志)

1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)

String param = "'test' or 1=1";

String sql = "select file from file where name = " + param; // 拼接SQL参数

PreparedStatement preparedStatement = connection.prepareStatement(sql);

ResultSet resultSet = preparedStatement.executeQuery();

System.out.println(resultSet.next());

输出结果为true,DB中执行的SQL为

-- 永真条件1=1成为了查询条件的一部分,可以返回所有数据,造成了SQL注入问题

select file from file where name = 'test' or 1=1

2. 使用PreparedStatement的set方法设置参数

48304ba5e6f9fe08f3fa1abda7d326ab.png

String param = "'test' or 1=1";

String sql = "select file from file where name = ?";

PreparedStatement preparedStatement = connection.prepareStatement(sql);

preparedStatement.setString(1, param);

ResultSet resultSet = preparedStatement.executeQuery();

System.out.println(resultSet.next());

48304ba5e6f9fe08f3fa1abda7d326ab.png

输出结果为false,DB中执行的SQL为

select file from file where name = '\'test\' or 1=1'

我们可以看到输出的SQL文是把整个参数用引号包起来,并把参数中的引号作为转义字符,从而避免了参数也作为条件的一部分

接下来我们分析下源码(以mysql驱动实现为例)

打开java.sql.PreparedStatement通用接口,看到如下注释,了解到PreparedStatement就是为了提高statement(包括SQL,存储过程等)执行的效率。

An object that represents a precompiled SQL statement.

A SQL statement is precompiled and stored in a PreparedStatement object.

This object can then be used to efficiently execute this statement multiple times.

那么,什么是所谓的“precompiled SQL statement”呢?

回答这个问题之前需要先了解下一个SQL文在DB中执行的具体步骤:

Convert given SQL query into DB format -- 将SQL语句转化为DB形式(语法树结构)

Check for syntax -- 检查语法

Check for semantics -- 检查语义

Prepare execution plan -- 准备执行计划(也是优化的过程,这个步骤比较重要,关系到你SQL文的效率,准备在后续文章介绍)

Set the run-time values into the query -- 设置运行时的参数

Run the query and fetch the output -- 执行查询并取得结果

而所谓的“precompiled SQL statement”,就是同样的SQL文(包括不同参数的),1-4步骤只在第一次执行,所以大大提高了执行效率(特别是对于需要重复执行同一SQL的)

言归正传,回到source中,我们重点关注一下setString方法(因为其它设置参数的方法诸如setInt,setDouble之类,编译器会检查参数类型,已经避免了SQL注入。)

查看mysql中实现PreparedStatement接口的类com.mysql.jdbc.PreparedStatement中的setString方法(部分代码)

48304ba5e6f9fe08f3fa1abda7d326ab.png

public void setString(int parameterIndex, String x) throws SQLException {

synchronized (checkClosed().getConnectionMutex()) {

// if the passed string is null, then set this column to null

if (x == null) {

setNull(parameterIndex, Types.CHAR);

} else {

checkClosed();

int stringLength = x.length();

if (this.connection.isNoBackslashEscapesSet()) {

// Scan for any nasty chars

// 判断是否需要转义处理(比如包含引号,换行等字符)

boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

// 如果不需要转义,则在两边加上单引号

if (!needsHexEscape) {

byte[] parameterAsBytes = null;

StringBuilder quotedString = new StringBuilder(x.length() + 2);

quotedString.append('\'');

quotedString.append(x);

quotedString.append('\'');

...

} else {

...

}

String parameterAsString = x;

boolean needsQuoted = true;

// 如果需要转义,则做转义处理

if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {

...

48304ba5e6f9fe08f3fa1abda7d326ab.png

从上面加红色注释的可以明白为什么参数会被单引号包裹,并且类似单引号之类的特殊字符会被转义处理,就是因为这些代码的控制避免了SQL注入。

这里只对SQL注入相关的代码进行解读,如果在setString前后输出预处理语句(preparedStatement.toString()),会发现如下输出

Before bind: com.mysql.jdbc.JDBC42PreparedStatement@b1a58a3: select file from file where name = ** NOT SPECIFIED **

After bind: com.mysql.jdbc.JDBC42PreparedStatement@b1a58a3: select file from file where name = '\'test\' or 1=1'

编程中建议大家使用PrepareStatement + Bind-variable的方式避免SQL注入

多问
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防止SQL注入 — PreparedStatement
Daria
05-20 189
Background: Statement不能防止SQL注入, PreparedStatement能够防止SQL注入 如何理解 prepared statements 使用预编译语句是预SQL注入的最佳方式 使用预编译语句Statement和PreparedStatment sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,...
sql数据库查询_java_java_sqlserver_sql_
10-01
例如,使用PreparedStatement防止SQL注入,通过批处理减少网络通信,合理设计数据库架构以优化查询效率,以及正确设置连接池来管理数据库连接。 在"chapter12"这个文件中,可能包含了更深入的讲解,如高级查询技巧...
mysql-2-Statement|PreparedStatement|CallableStatement
kevinchann的博客
07-17 351
1. Statement:一个接口 oracle定义: The object used for executing a static SQL statement and returning the results it produces. 执行静态sql,返回结果给Statement对象Statement xxx=(Connection) xx.createStatement();用法:
java:PreparedStatement可以防止sql注入的原因
热门推荐
xlantian的博客
08-18 1万+
  java中对数据库访问的方法有多种。以操作MySql数据库为例。     方法一:创建Statement对象,调用对象的execute(String)、executeQuery(String)等函数执行String字符串的sql语句。           Class.forName(com.mysql.jdbc.Driver); //加载驱动 Connection con...
Java操作数据库(二,SQL注入与PreparedStatement
weixin_47514459的博客
12-07 3350
JDBC入门https://blog.csdn.net/weixin_47514459/article/details/121719450 小编相信,通过对上文的阅读,让各位对jdbc(Java对数据库的操作)已经有一定的认识,下面我们就来看看SQL注入的问题与PreparedStatement(对数据库的增删查改)的内容吧! SQL注入 PreparedStatement ...
java.sql.PreparedStatement
xwnxwn的专栏
12-16 1154
超级接口:Statement,Wrapper 子接口:CallableStatement 1、addBatch():将一组参数添加到此 PreparedStatement 对象的批处理命令中。 2、clearParameters():立即清除当前参数值。 3、execute():执行 SQL 语句,该语句可以是任何种类的 SQL 语句。 4、executeQuery(): 执行 SQL
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2568
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
`Statement`适用于静态SQL语句,而`PreparedStatement`则用于预编译的SQL语句,能防止SQL注入攻击。 4. **数据导入**:描述中提到“先要导入其中的两个数据库文件”,这通常是指`.bak`或`.mdf`等数据库备份或数据...
sql.rar_Leach_SQL java_sql_数据库 java sql
09-22
"sql.rar_Leach_SQL java_sql_数据库 java sql"这个压缩包文件显然包含了关于如何在Java中使用SQL来与数据库进行交互的资源,这对于初级学习者来说是一份宝贵的资料。 首先,让我们了解一下SQL(Structured Query ...
java+sql.rar_SQL java_java s_java sql_java sql 简单_java.sql.
09-20
3. **Statement/PreparedStatement**:Statement用于执行静态SQL语句,而PreparedStatement允许预编译SQL语句,提高性能,并防止SQL注入攻击。 4. **ResultSet**:执行SQL查询后返回的结果集,可以通过遍历...
SQL.rar_java sql_java sql查询_query optimization_sql_sql优化
09-24
在IT行业中,数据库管理和SQL(Structured Query Language)查询优化是至关重要的技能,特别是在Java应用程序开发中。本篇文章将深入探讨SQL查询优化,包括其概念、重要性以及如何在Java环境中进行有效的SQL调优。 ...
Java中PreparedStatement执行SQL防止SQL注入实现
weixin_42151066的博客
03-04 254
Java中PreparedStatement执行SQL防止SQL注入实现
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5936
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
java.sql.PreparedStatementjava.sql.Statement区别
rll755的博客
05-08 358
本文转自CSDN,然后整理了一遍。原文出处:CSDN JDBC(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取JDBC访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-0520:56 或者 02/05/02 8:56 p...
java sql注入防止_java - PreparedStatement如何避免或阻止SQL注入
weixin_35346265的博客
02-20 192
要了解PreparedStatement如何阻止SQL注入,我们需要了解SQL Query执行的各个阶段。1.编译阶段。2.执行阶段。每当SQL Server引擎收到一个查询时,它必须通过以下阶段,解析和规范化阶段:在此阶段,将检查Query的语法和语义。 它检查是否引用表和查询中使用的列是否存在。它还有许多其他任务要做,但我们不详细说明。编译阶段:在此阶段,查询中使用的关键字如select,fr...
Java:PreparedStatement 防止SQL注入
CSDN_chenyang的博客
06-02 310
Statement和PreparedStatement的区别 联系 PreparedStatement继承自Statement,两者都是接口。 Statement 用于执行静态SQL 语句在执行时,必须指定一个事先准备好的SQL语句。 PreparedStatement 是预编译的SQL语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句可以包含动态的参数 “ ?”,执行时可以为“ ? ”动态设置参数值。 使用PreparedStatement对象执行sql时,sql语句被数
通过PreparedStatementSQL注入
jakelihua
11-25 607
简介:本文只讲PreparedStatementSQL注入的写法,大家学会就好。..
java sql 参数_java.sql使用PreparedStatement执行参数化查询
weixin_32512451的博客
02-24 1582
这两周在用java写网站。其实刚开始写只是一两个网页,老板只是让展示一下存储的报告内容,所以我们把xml报告加个xls生成html,直接嵌套进网页就可以,但是随着报告越来越多,要展示的内容从本地一直延伸到深圳上海等地方,所以就开始琢磨着搞数据库。当然知道这玩意有一万个好处,但是能应付就不想大改。小明哥压力越来越大,最终决定:改!于是第一个版本应运而生。但是一直做下来,发现还是用数据库来连接各种内容...
java sql注入 正则_Java-java程序防止sql注入的方法
最新发布
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值