mysql的jdbc防止注入占位符_为什么java jdbc问号占位符可以防注入?

最新推荐文章于 2023-05-14 08:31:21 发布
最新推荐文章于 2023-05-14 08:31:21 发布
阅读量125 收藏
点赞数
文章标签: mysql的jdbc防止注入占位符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39672572/article/details/113269898
版权

本篇文章给大家带来的内容是介绍为什么java jdbc问号占位符可以防注入?有一定的参考价值,有需要的朋友可以参考一下,希望对你们有所帮助。

最近几天探讨一下关于sql注入的问题,以前林老师也讲过,现在总结一下:

其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。

建议使用instr()函数,本文主要记录一下处理防止注入的源码,为什么用?可以防注入,而拼接的sql可以注入。

先看下面用占位符来查询的一句话String sql = "select * from administrator where adminname=?";

psm = con.prepareStatement(sql);String s_name ="zhangsan' or '1'='1";

psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名,用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?

首先,setString()的源码中只有方法名字,并没有任何过程性处理。

那么答案肯定出现在Java到数据库这个过程中,也就是mysql和oracle驱动包中,在mysql驱动包中,PreparedStatement继承并实现了jdk中的setString方法,翻看一下源码,主要是做了转义处理。

也就是原因在于数据库厂商帮你解决了这个问题,下面就看看这个方法的具体实现:public void setString(int parameterIndex, String x)

throws SQLException {

if(x == null) {

setNull(parameterIndex, 1);

} else {

checkClosed();

int stringLength = x.length();

if(connection.isNoBackslashEscapesSet()) {

boolean needsHexEscape = isEscapeNeededForString(x, stringLength);

if(!needsHexEscape) {

byte parameterAsBytes[] = null;

StringBuffer quotedString = new StringBuffer(x.length() + 2);

quotedString.append('\'');

quotedString.append(x);

quotedString.append('\'');

if(!isLoadDataQuery)

parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());

else

parameterAsBytes = quotedString.toString().getBytes();

setInternal(parameterIndex, parameterAsBytes);

} else {

byte parameterAsBytes[] = null;

if(!isLoadDataQuery)

parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());

else

parameterAsBytes = x.getBytes();

setBytes(parameterIndex, parameterAsBytes);

}

return;

}

String parameterAsString = x;

boolean needsQuoted = true;

if(isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {

needsQuoted = false;

StringBuffer buf = new StringBuffer((int)((double) x.length() * 1.1000000000000001 D));

buf.append('\'');

for(int i = 0; i < stringLength; i++) {

char c = x.charAt(i);

switch(c) {

case 0: // '\0'

buf.append('\\');

buf.append('0');

break;

case 10: // '\n'

buf.append('\\');

buf.append('n');

break;

case 13: // '\r'

buf.append('\\');

buf.append('r');

break;

case 92: // '\\'

buf.append('\\');

buf.append('\\');

break;

case 39: // '\''

buf.append('\\');

buf.append('\'');

break;

case 34: // '"'

if(usingAnsiMode)

buf.append('\\');

buf.append('"');

break;

case 26: // '\032'

buf.append('\\');

buf.append('Z');

break;

default:

buf.append(c);

break;

}

}

buf.append('\'');

parameterAsString = buf.toString();

}

byte parameterAsBytes[] = null;

if(!isLoadDataQuery) {

if(needsQuoted)

parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());

else

parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());

} else {

parameterAsBytes = parameterAsString.getBytes();

}

setInternal(parameterIndex, parameterAsBytes);

parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;

}

}

总结:以上就是本篇文的全部内容,希望能对大家的学习有所帮助。更多相关教程请访问Java视频教程,java开发图文教程,bootstrap视频教程!

weixin_39672572
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql占位符的作用_sql语句中的占位符?有什么作用
weixin_39599081的博客
01-21 2331
String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ;pstmt = conn.prepareStatement(sql) ;pstmt.setString(1,userid) ; // 这里设置了第一个?的值pstmt.setString(2,password) ; // 这里设置了第二个?的值 等...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
java通过JDBC连接My SQL,简单实用
java String占位符
吕建奎的专栏
04-16 4845
今天同事又问起类似的字占位符替换的功能,我就找了这个帖子,目的是达到了。不过后来想了下,貌似String自己就有这个功能的,所以在这里总结下2种实现方式: Java代码  String stringFormat  = "lexical error at position %s, encountered %s, expected %s ";    String messag
JavaSE JDBC防止SQL注入攻击:PreparedStatement
Mr青青子衿
12-09 393
目录Sql注入使用PreparedStatement预编译语句对象解决SQL注入攻击 Sql注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 以模拟登录为例:在前台输入用户名和密码,后台判断信息是否正确,并给出前台反馈信息,前台输出反馈信息。 public class TestInjection { private sta
mysqljdbc防止注入占位符_为什么java jdbc问号占位符可以注入?,
weixin_39725844的博客
01-19 159
详细内容本篇文章给大家带来的内容是介绍为什么java jdbc问号占位符可以注入?有一定的参考价值,有需要的朋友可以参考一下,希望对你们有所帮助。最近几天探讨一下关于sql注入的问题,以前林老师也讲过,现在总结一下:其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。建议使用instr()函数,本文主要记录一下处理防止注入的源码,为什么用?可以注入,而...
mysql占位符 注入_PyMySQL防止SQL注入
weixin_42107491的博客
01-21 435
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字串拼接查询,造成注入importpymysqlconn= p...
JDBC.zip_MYSQL_java mysql 库_jdbc
09-14
java连接mysql数据库,进行数据的修删改查
jdbc-mysql.rar_JDBC mysql java
09-22
JDBC连接MYSQL的常用代码,希望对大家有用!
jdbc.zip_JDBC mysql java_mysql jdbc
09-20
这个适用于初学者,JDBC连接MYSQL,这些是JDBC一些测试程序
Java_MySQL_JDBC.rar_JDBC程序_java jdbc mysql_java mysql jd_jdbc 样例
09-24
总结用JDBC连接mysql数据库的程序样例,应该有点用
ibatis 防止SQL注入占位符注入
java developer
08-26 149
[b]SQL注入:[/b] 如果用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的。 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from ...
SQL语句中的占位符是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 1378
在PHP中,PDO和mysqli扩展都支持预处理语句,并且提供了绑定参数的方法来使用占位符。例如,使用PDO的prepare()方法准备SQL语句,然后使用bindParam()或bindValue()方法来绑定参数值。在执行时,使用execute()方法执行SQL语句即可。当一个SQL语句使用占位符时,数据库系统可以预编译该语句,并在需要执行时,只需要绑定参数并执行,避免了每次执行都需要解析和编译SQL语句的开销。它们被用来构建可重用的SQL语句,通过在运行时绑定实际的参数值,以生成具体的SQL语句。
UnPooled.copiedBuffer与wrappedBuffer的使用
alterhz的博客
07-05 9150
Unpooled.copiedBuffer函数 public final class Unpooled { /** * Creates a new big-endian buffer whose content is a copy of the * specified {@code array}. The new buffer's {@code readerIndex} and * {@code writerIndex} are {@code 0} ...
springBoot框架下WrappedRequest重写request body请求参数
yuanyuan5201的专栏
10-22 1374
WrappedRequest接收request body参数
jdbc问号占位符的详细分析
码农研究僧的博客
08-31 5101
目录前言实战 前言 先写sql语句框架 一个问号代表一个占位符,之后占位符接收一个值 占位符不可使用双引号或者单引号 获取占位符,给占位符传值,通过setString等方法 之所以要用问号占位符,在发送sql语句框架给DBMS,DBMS对sql语句框架进行预编译。 如果没有用占位符,正常执行编译信息,如果含有sql关键字,会将其编译,而执行有bug,出现sql注入等情况程序执行到此处,会发送 主要结合jdbc中的步骤 改掉某个步骤 如代码所示 // 3、获取预编译的数据库操作对象 // sql语句的框架
为啥jdbc问号占位符可以注入
yang_best的专栏
02-09 5766
先看下面用占位符来查询的一句话 String sql = "select * from administrator where adminname=?"; psm = con.prepareStatement(sql); String s_name ="zhangsan' or '1'='1"; psm.setString(1, s_name); 假设数据库表中并没有zhangsan
mysql占位符使用 以及一次执行多行sql语句
热门推荐
づ開始懂了的博客
01-27 2万+
占位符的使用:drop PROCEDURE if EXISTS test12; -- 使用drop 来删除存储过程或者表create PROCEDURE test12() -- 创建存储过程 命名为test12 BEGIN set @tableNames = CONCAT('background'); -- '@' 先在用户变量中保存值然后在以后引用它 set @beanId = 6; s
Mysql模糊查询中对于“?”占位符的使用
MPFLY的博客
09-27 7589
sql语句:var selectOneSql = "select * from userMag where uname like ? ";在设置参数的时候,进行字串的拼接。var searchInfo = "%"+ req.query.searchInfo +"%";
java新增mysql数据,用参数名占位符预处理
最新发布
06-08
上面的代码使用了参数名占位符的方式,其中使用冒号加上参数名的方式来代替了传统的问号占位符。需要注意的是,使用参数名占位符的方式需要在连接字串中添加`rewriteBatchedStatements=true`参数,并且MySQL版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值