使用jdbc拼接条件查询语句时如何防止sql注入

最新推荐文章于 2022-09-13 20:44:06 发布
最新推荐文章于 2022-09-13 20:44:06 发布
阅读量342 收藏
点赞数
分类专栏: 安全 文章标签: jdbc
原文链接:https://www.cnblogs.com/intflag/p/10780577.html
版权

使用jdbc拼接条件查询语句时如何防止sql注入
本人微信公众号,欢迎扫码关注!

使用jdbc拼接条件查询语句时如何防止sql注入
最近公司的项目在上线时需要进行安全扫描,但是有几个项目中含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接的SQL语句,真是令人抓狂。
在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思路请参考下面的示例代码。
1 数据库示例数据

2 使用statement(不防止SQL注入)
2.1 示例代码
@Test
public void statementTest() {
String username = “tom”;
String sex = “1”;
String address = “’ or ‘1’='1”;
Statement stat = null;
ResultSet res = null;

Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";

sql += username == null ? "" : " AND username = '" + username + "'";
sql += sex == null ? "" : " AND sex = '" + sex + "'";
sql += address == null ? "" : " AND address = '" + address + "'";

System.out.println(sql);

try {
    stat = conn.createStatement();
    res = stat.executeQuery(sql);
    printRes(res);
} catch (SQLException e) {
    e.printStackTrace();
} finally {
    ResourceClose.close(res, stat, conn);
}

}
2.2 控制台结果
SELECT * FROM user WHERE 1 = 1 AND username = ‘tom’ AND sex = ‘1’ AND address = ‘’ or ‘1’=‘1’
10 tom 2014-07-10 1 beijing
16 tom 2018-07-31 1 shanghai
22 tom 2019-04-16 2 shanghai
24 tom 2019-06-22 1 guangzhou
25 tom 2019-01-22 2 guangzhou
28 tom 2018-07-31 1 shenzhen
2.3 小结
经过上面的示例代码我们可以发现,单纯拼接SQL语句是非常危险的,特别容易被SQL注入,但是如果使用prepareStatement的话,像这种条件查询我们预先并不能确定到底有多少个?(占位符),也就不能使用按照?(占位符)索引去设置参数了,那怎么办呢?
别担心,此时我们使用一个小小的技巧,具体参考下面的示例代码
3 使用prepareStatement(可以防止SQL注入)
3.1 示例代码
@Test
public void prepareStatementTest() {
String username = “tom”;
String sex = null;
String address = “’ or ‘1’='1”;
PreparedStatement stat = null;
ResultSet res = null;

Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";

List<Object> param = new ArrayList<>();

if (username != null) {
    sql += " AND username = ?";
    param.add(username);
}
if (sex != null) {
    sql += " AND sex = ?";
    param.add(sex);
}
if (address != null) {
    sql += " AND address = ?";
    param.add(address);
}
System.out.println(sql);

try {
    stat = conn.prepareStatement(sql);
    for (int i = 0; i < param.size(); i++) {
        stat.setObject(i+1,param.get(i));
    }
    res = stat.executeQuery();
    printRes(res);
} catch (SQLException e) {
    e.printStackTrace();
} finally {
    ResourceClose.close(res, stat, conn);
}

}
3.2 控制台结果
SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?
3.3 小结
可以看出,使用prepareStatement是可以防止SQL注入的。
但进行类似条件拼接这种操作时,可以先把参数放入一个集合中,然后遍历集合,同时利用setObject(index,obj)这个方法就可以动态的获取参数的索引了,而且不用关心参数是何种类型。
4 问题总结
如今在进行项目开发时已经很少使用原生的jdbc了,大多数都用功能强大的框架去完成,他们帮我们简化了很多操作,如获取数据库连接、封装结果集、SQL预编译(可以防止SQL注入)
如果实在避免不了使用的话一定要使用可以需编译的prepareStatement对象,避免被SQL注入带来的风险。

乐萱妞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态拼接sql语句工具类,拼接where后面语句
05-25
动态拼接sql语句工具类,拼接where后面语句 配合原生jdbc仿动态sql注入 if (ObjectUtil.isNotEmpty(maxLat)&&ObjectUtil.isNotEmpty(minLat)){ sqlParamList.add(new SqlParam("lat",minLat, SqlOpEnum.GE)); ...
jdbc拼接条件查询语句如何防止sql注入?
qq_42796740的博客
07-13 295
可以使用**PreparedStatement**,PreparedStatement继承Statement,性能上要优于Statement。 原因 PreparedStatement采用预编译机制将SQL语句中的主干和参数分别传给数据库服务器,从而使数据库分辨出哪些是SQL语句的主干,哪些是参数,从而有效防止SQL注入。 PreparedStatement优点 1、可以防止SQL注入 2、采用...
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1170
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
JdbcTemplate的query方法防治sql注入
ai932820942的博客
05-19 2486
直接上代码 StringBuffer sql = new StringBuffer("select * from A t where t.id= ?"); PreparedStatementSetter statementSetter = new PreparedStatementSetter() { @Override public void setValues(PreparedStatement preparedStatement) throws SQLException
spring jdbc条件查询(参数化传参,防止sql注入风险)
热门推荐
F & Q的专栏
01-25 1万+
public List getAllOperator(int toPage, int pageSize, String login, String name, String oper_group_id, int state) { String sql = "select p.id, p.login,p.password,p.name,p.email,
SQL拼接工具包,支持Oracle/PostgreSQL/MySql
04-22
可以拼接select、update、delete语句以及where条件语句拼接where条件可自动组织参数并返回。 支持andEq(), andGt(), andGe(),andLt(), andLe(), andEqDate(), andEqTime(), andGtDate(), andGtTime(), andLtDate...
JDBC的常用方法
12-14
我们在写sql语句,为了方便可能会进行拼接字符串,这样做的弊端就是可能被sql注入攻击,解决的办法也很简单。 //获取数据库连接 Connection connection = DBUtils.getConnection(); //在写sql语句使用?代替...
MyBatis动态SQL是一种强大的特性,它允许我们在SQL语句中根据条件动态地添加或删除某些部分,从而实现更加灵活和高效的数据
04-28
JDBC或其他类似框架中,开发人员通常需要手动拼接SQL语句,这既繁琐又易出错。MyBatis动态SQL则通过标签的形式在XML映射文件中编写,从而避免了手动拼接SQL的麻烦。 MyBatis提供了多种元素来实现动态SQL,如、、...
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4654
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
如何防止sql注入
weixin_41770160的博客
06-20 127
sql注入
jdbc sql 参数防止sql注入_如何防止sql注入?介绍5种防止sql注入的方法
weixin_36038435的博客
02-03 932
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
正则校验windows和linux路径
weixin_43173924的博客
09-07 977
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
如何拼接SQL语句,以及如何防止SQL注入攻击
qq_40922845的博客
01-20 6968
在书写SQL语句(或者其他语句)的过程中,有需要将形参放入准备好的SQL变量中,就需要对语句进行拼接拼接方法如下,字符串需要整个用双引号包裹,形参需要暴漏在双引号外面,字符串跟形参之间用加号连接。下面对这个SQL语句进行分组分析: 正常的语句应该是这样:select * from test(表名) where uname="username" and upassword="password";...
HQL查询语句拼接规范,避免SQL注入攻击
施勇
07-26 7639
软件开发过程中不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发中避免SQL注入攻击。SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数
如何防止sql恶意注入
m0_72345017的博客
09-13 1217
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 会直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 数据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础数据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础数据管理等功能。
node-v6.12.0-linux-ppc64le.tar.xz
最新发布
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实应用程序如在线游戏、聊天应用以及实通讯服务表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.8.0-linux-ppc64le.tar.xz
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实应用程序如在线游戏、聊天应用以及实通讯服务表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,避免进行sql字符串拼接,表名是动态的
02-11
好的,这是一段使用 Java JDBC 查询 SQL 语句,并避免 SQL 注入漏洞和 SQL 字符串拼接的代码: ``` String tableName = "tableName"; String sql = "SELECT * FROM " + tableName + " WHERE id = ?"; try ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值