mysql like preparedstatement_用java PreparedStatement就不用担心sql注入了吗

最新推荐文章于 2021-02-17 17:17:54 发布
最新推荐文章于 2021-02-17 17:17:54 发布
阅读量110 收藏
点赞数
文章标签: mysql like preparedstatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42486337/article/details/114328535
版权

展开全部

对32313133353236313431303231363533e78988e69d8331333361313865java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。

关于PreparedStatement和Statement其他细节我们不讨论,只关心注入问题。无论读者是老鸟还是菜鸟,都需要问一下自己,PreparedStatement真的百分百防注入吗?

接下来我们研究一下PreparedStatement如何防止注入,本文以MySQL数据库为例。

为了避免篇幅过长,我这里只贴代码片段,希望读者能有一定的基础。String sql = "select * from goods where min_name = ?";  // 含有参数

PreparedStatement st = conn.prepareStatement(sql);

st.setString(1, "儿童"); // 参数赋值

System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@d704f0: select * from goods where min_name = '儿童'

这段代码属于JDBC常识了,就是简单的根据参数查询,看不出什么端倪,但假如有人使坏,想注入一下呢?String sql = "select * from goods where min_name = ?";  // 含有参数

PreparedStatement st = conn.prepareStatement(sql);

st.setString(1, "儿童'"); // 参数赋值

System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@d704f0: select * from goods where min_name = '儿童\''

简单的在参数后边加一个单引号,就可以快速判断是否可以进行SQL注入,这个百试百灵,如果有漏洞的话,一般会报错。

之所以PreparedStatement能防止注入,是因为它把单引号转义了,变成了\',这样一来,就无法截断SQL语句,进而无法拼接SQL语句,基本上没有办法注入了。

所以,如果不用PreparedStatement,又想防止注入,最简单粗暴的办法就是过滤单引号,过滤之后,单纯从SQL的角度,无法进行任何注入。

其实,刚刚我们提到的是String参数类型的注入,大多数注入,还是发生在数值类型上,幸运的是PreparedStatement为我们提供了st.setInt(1, 999);这种数值参数赋值API,基本就避免了注入,因为如果用户输入的不是数值类型,类型转换的时候就报错了。

好,现在读者已经了解PreparedStatement会对参数做转义,接下来再看个例子。String sql = "select * from goods where min_name = ?";  // 含有参数

PreparedStatement st = conn.prepareStatement(sql);

st.setString(1, "儿童%"); // 参数赋值

System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@8543aa: select * from goods where min_name = '儿童%'

我们尝试输入了一个百分号,发现PreparedStatement竟然没有转义,百分号恰好是like查询的通配符。

正常情况下,like查询是这么写的:String sql = "select * from goods where min_name like ?";  // 含有参数

st = conn.prepareStatement(sql);

st.setString(1, "儿童" + "%"); // 参数赋值

System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@8543aa: select * from goods where min_name like '儿童%'

查询min_name字段以"儿童"开头的所有记录,其中"儿童"二字是用户输入的查询条件,百分号是我们自己加的,怎么可能让用户输入百分号嘛!等等!如果用户非常聪明,偏要输入百分号呢?String sql = "select * from goods where min_name like ?";  // 含有参数

st = conn.prepareStatement(sql);

st.setString(1, "%儿童%" + "%"); // 参数赋值

System.out.println(st.toString()); //com.mysql.jdbc.JDBC4PreparedStatement@8543aa: select * from goods where min_name like '%儿童%%'

聪明的用户直接输入了"%儿童%",整个查询的意思就变了,变成包含查询。实际上不用这么麻烦,用户什么都不输入,或者只输入一个%,都可以改变原意。

虽然此种SQL注入危害不大,但这种查询会耗尽系统资源,从而演化成拒绝服务攻击。

那如何防范呢?笔者能想到的方案如下:

·直接拼接SQL语句,然后自己实现所有的转义操作。这种方法比较麻烦,而且很可能没有PreparedStatement做的好,造成其他更大的漏洞,不推荐。

·直接简单暴力的过滤掉%。笔者觉得这方案不错,如果没有严格的限制,随便用户怎么输入,既然有限制了,就干脆严格一些,干脆不让用户搜索%,推荐。

弄哦婆婆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java数据库连接PreparedStatement的使用详解
08-29
主要介绍了Java数据库连接PreparedStatement的使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java使用PreparedStatement接口及ResultSet结果集的方法示例
08-27
主要介绍了Java使用PreparedStatement接口及ResultSet结果集的方法,结合实例形式分析了PreparedStatement接口及ResultSet结果集的相关使用方法与操作注意事项,需要的朋友可以参考下
mysql like preparedstatement_PreparedStatement 使用like 模糊查询
weixin_28727943的博客
02-17 284
PreparedStatement 使用like在使用PreparedStatement进行模糊查询的时候废了一番周折,以前一直都没有注意这个问题。一般情况下我们进行精确查询,sql语句类似:select*fromtablewherename=?,然后调用PreparedStatement的setString等方法给?指定值。那么模糊查询的时候应该怎么写呢?我首先尝试了:select...
PreparedStatement 使用like 模糊查询
Jason分享,共同进步
03-03 697
PreparedStatement 使用like 在使用PreparedStatement进行模糊查询的时候废了一番周折,以前一直都没有注意这个问题。一般情况下我们进行精确查询,sql语句类似:select * from table where name =?,然后调用 PreparedStatement的setString等方法给?指定值。那么模糊查询的时候应该怎么写呢?我首先尝试了:sele...
SQL中LIKE '%' 与 PreparedStatement的占位符 ? 使用方法
LiQiyao的博客
04-27 5998
LIKE name='%xxx%'是SQL提供的一种模糊查询方式,用%号代替任意字符。 PreparedStatementJava提供的一种包含预处理的数据库连接查询方式,这种方式很方便,可以通过如下代码做查询:PreparedStatement pstm = connection.prepareStatement("SELECT * FROM t1 WHERE name=?");问号就是占位
javaPreparedStatement和Statement详细讲解
08-25
主要介绍了javaPreparedStatement和Statement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
MySql练习3:使用PreparedStatement插入宠物信息.zip
09-03
MySql练习3:使用PreparedStatement插入宠物信息.zip MySql练习3:使用PreparedStatement插入宠物信息.zip MySql练习3:使用PreparedStatement插入宠物信息.zip
Java 用msql LIKE语句模糊查询——prepareStatement LIKE语句
Agly_Charlie的博客
03-04 7275
JAVA jdbc 用LIKE模糊搜索内容——prepareStatement LIKE语句问题: prepareStatement LIKE在mysql中可以输出结果,但是用java写就查找不到结果。public void getYunEventListByKw(String content) { PreparedStatement preStmt = null;
PreparedStatementMySQL的like
个人站点: macrotea.cn/nav
12-14 166
/*有问题:*/ select AutoID from tb_train_station where Name like '%?%') /*OK:*/ select AutoID from tb_train_station where Name like concat('%',?,'%'))  
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
java PreparedStatement不用担心sql注入了吗?
weixin_33757911的博客
09-15 1204
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatementPreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
PreparedStatement使用like的方法
wangxu496677829的博客
01-28 403
sql = " and a.name like '%' || ? || '%'"; value.add(name); 或者 sql = " and a.name like ? "; value.add("%"+name+"%");
通过java用含like的sql语句进行数据库查询
最新发布
07-13
当您使用Java编程语言连接数据库时,您可以使用JDBC(Java Database Connectivity)来执行含有LIKE的SQL查询。以下是一个示例代码: ```java import java.sql.*; public class DatabaseExample { public static ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值