占位符,SQL注入?

最新推荐文章于 2022-09-19 22:30:00 发布
最新推荐文章于 2022-09-19 22:30:00 发布
阅读量2.2w 收藏 23
点赞数 9
分类专栏: EE 文章标签: sql delete string mysql character user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yan465942872/article/details/6753957
版权

这两天在上课时被同学拿了一段代码问我,这段代码有什么问题,我看了一会说:Connection和PreparedStatement都没关。他说不止这方面的问题,还有sql注入的问题,我就坚决的说使用了占位符不存在sql注入的问题,但是他提出了一种情况,在我看来也很有道理的情况。

pstmt = conn.prepareStatement("delete from user where user.id=?");
pstmt.setString(1, "w"); 

 他认为如果把代码写成这样就有注入问题了 

 

 

pstmt = conn.prepareStatement("delete from user where user.id=?");
pstmt.setString(1, "w' or '2'='2");
 

 当时我看了只能告诉他一定不存在注入问题,因为在我的想法中我一直记得的是用占位符能解决注入问题,至于怎么解决的就不知道了,看了上面的代码也很有道理,感觉setString后的sql语句应该是 

 

 

delete from user where user.id='w' or '2'='2';

 

 


 
 

回到宿舍我专门写了程序测试一下,事实证明并不想我们想的这样,的确使用占位符不存在注入问题,所以解释是在执行的时候把一些字符给转义了,但这个转义的过程是在什么地方转义的呢,把上面的sql语句在mysql控制台上运行一下,查看一下数据看到所有数据都被删除完,那只能解释成在java程序中转义的,于是我就去看java的源代码,发现在java源码中PreparedStatement只是一个接口,而且是没有子类的接口,我就很纳闷,没实现怎么用的?所以一定有实现的地方,去网上查了一下,jdk直提供接口,而具体实现是由数据库厂商实现的,我们用的就是数据库厂商实现的类。于是我就又去查mysql的jar包源码,发现有个PreparedStatement实现了jdk中的PreparedStatement了。里面的setString方法如下实现:
 

 

public void setString(int parameterIndex, String x) throws SQLException {
		// if the passed string is null, then set this column to null
		if (x == null) {
			setNull(parameterIndex, Types.CHAR);
		} else {
			StringBuffer buf = new StringBuffer((int) (x.length() * 1.1));
			buf.append('\'');

			int stringLength = x.length();

			//
			// Note: buf.append(char) is _faster_ than
			// appending in blocks, because the block
			// append requires a System.arraycopy()....
			// go figure...
			//
			for (int i = 0; i < stringLength; ++i) {
				char c = x.charAt(i);

				switch (c) {
				case 0: /* Must be escaped for 'mysql' */
					buf.append('\\');
					buf.append('0');

					break;

				case '\n': /* Must be escaped for logs */
					buf.append('\\');
					buf.append('n');

					break;

				case '\r':
					buf.append('\\');
					buf.append('r');

					break;

				case '\\':
					buf.append('\\');
					buf.append('\\');

					break;

				case '\'':
					buf.append('\\');
					buf.append('\'');

					break;

				case '"': /* Better safe than sorry */
					if (this.usingAnsiMode) {
						buf.append('\\');
					}

					buf.append('"');

					break;

				case '\032': /* This gives problems on Win32 */
					buf.append('\\');
					buf.append('Z');

					break;

				default:
					buf.append(c);
				}
			}

			buf.append('\'');

			String parameterAsString = buf.toString();

			byte[] parameterAsBytes = null;

			if (!this.isLoadDataQuery) {
				parameterAsBytes = StringUtils.getBytes(parameterAsString,
						this.charConverter, this.charEncoding, this.connection
								.getServerCharacterEncoding(), this.connection
								.parserKnowsUnicode());
			} else {
				// Send with platform character encoding
				parameterAsBytes = parameterAsString.getBytes();
			}

			setInternal(parameterIndex, parameterAsBytes);
		}
	}
 

 

 

 

到此就告一段落,可以发现在setString时最外面的单引号被转义了,也就是说setString后的sql语句是这样的
 

 

delete from user where user.id=\'w' or '2'='2\';
而且仔细看会发现在setString中是一个字符一个字符的解析,该转义的都已经转义,正如他一句注释中写的Better safe than sorry.所以最终,占位符确实不存在注入问题 

 


                

        

        

    




    

      

        

            

              
                
                  yan465942872
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    9
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    23
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  5
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
sql占位符

				
			

			

				

					yyf_ad的专栏
				

				

					01-26
					
					1481
					
				

			

		

		

			
				
http://blog.csdn.net/yan465942872/article/details/6753957



这两天在上课时被同学拿了一段代码问我,这段代码有什么问题,我看了一会说:Connection和PreparedStatement都没关。他说不止这方面的问题,还有sql注入的问题,我就坚决的说使用了占位符不存在sql注入的问题,但是他提出了一种情况,在我看来也很有道理的

			
		

	



                

              
                



	

		

			

				
					
关于使用占位符来解决SQL注入

					
热门推荐

				
			

			

				

					技术归档
				

				

					08-29
					
					1万+
					
				

			

		

		

			
				
总结:


SQL已经预编译好了,然后替换中间的占位符,这个占位符在编译后就已经确定了它只是一个参数属性。因此,用注入的代码去替换占位符,这个SQL也不会再进行编译了,所以也达不到注入的目的。


SQL注入并不是一个在SQL内不可解决的问题,这种攻击方式的存在也不能完全归咎于SQL这种语言,因为注入的问题而放弃SQL这种方式也是因噎废食。首先先说一个我在其他回答中也曾提到过的观点:没

			
		

	



                


  
              

                


	

		

			

				
					
二、SQL注入使用占位符解决、JDBC工具类、封装

				
			

			

				

					H215919719的博客
				

				

					09-19
					
					1349
					
				

			

		

		

			
				
③ 隔离性 行锁 事务的隔离性是指在并发环境中,并发的事务是互相隔离的,一个事务的执行不能被其它事务干扰。② 一致性(Consistency) 事务的一致性是指事务的执行不能破坏数据库数据的完整性和一致性,一个事务在执行之前和执行之后,数据库都必须处以一致性状态。任何一项操作都会导致整个事务的失败,同时其它已经被执行的操作都将被撤销并回滚,只有所有的操作全部成功,整个事务才算是成功完成。一个事务内部的操作及使用的数据对其它并发事务是隔离的,并发执行的各个事务是不能互相干扰的。

			
		

	





	

		

			

				
					
占位符防止sql注入

				
			

			

				

					恒之传说
				

				

					03-20
					
					3363
					
				

			

		

		

			
				
防止sql注入方式:
在sql中使用?
String sql= "SELECT * FORM emp where ENAME=?";
PreparedStatement ps = connect.preparedStatement(sql);
ps.setString(1,'KING');
ResultSet rs = ps.executeQuery();


sql中使用?赋给值

			
		

	



		

			
		



	

		

			

				
					
SQL注入占位符拼接符

				
			

			

				

					weixin_30791095的博客
				

				

					11-16
					
					408
					
				

			

		

		

			
				
一、什么是SQL注入

官方:
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

个人:
用...

			
		

	





	

		

			

				
					
如何防止sql注入

				
			

			

				

					12-14
				

			

		

		

			
				
它通过占位符将参数与查询语句分开,确保输入的值不会被解释为SQL命令的一部分。  3. **输入验证和过滤**  对用户输入进行严格的验证,拒绝包含特殊字符(如单引号、分号、双引号等)的输入,或者使用正则表达式来...

			
		

	





	

		

			

				
					
SQL语句填充占位符

				
			

			

				

					04-22
				

			

		

		

			
				
SQL语句填充占位符是一种编程技术,它允许我们创建一个带有占位符的静态SQL模板,然后在运行时根据实际参数动态地替换这些占位符。这种方法提高了代码的可读性和安全性,减少了手动构造SQL字符串的需求。  在Java中...

			
		

	





	

		

			

				
					
Mybatis防止sql注入的实例

				
			

			

				

					08-30
				

			

		

		

			
				
Mybatis防止sql注入的实例   Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...

			
		

	





	

		

			

				
					
使用Python防止SQL注入攻击的实现示例

				
			

			

				

					09-16
				

			

		

		

			
				
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

			
		

	





	

		

			

				
					
mybatis防止SQL注入的方法实例详解

				
			

			

				

					08-27
				

			

		

		

			
				
占位符即可。例如:  ```java Connection conn = getConn();//获得连接 String sql = "select name from user where id= ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ...

			
		

	





	

		

			

				
					
JDBC中的SQL注入

				
			

			

				

					Leessang
				

				

					05-22
					
					897
					
				

			

		

		

			
				
狭义的 SQL注入
称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。
1.1 JDBC
先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。
通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。
1.2 S

			
		

	





	

		

			

				
					
mysql的jdbc防止注入占位符_jdbc怎么防止sql注入

				
			

			

				

					weixin_30453651的博客
				

				

					01-28
					
					341
					
				

			

		

		

			
				
JDBC-防止sql注入漏洞使用预编译可有效防止sql注入漏洞。原因:在statement中不能够有效的防止sql注入漏洞,在于用户传入参数的时候可能会传入一些特殊字符,比如单引号' ' ,或者是-- 这种会影响到我们的sql语句.所以使用预编译中的占位符,也就是?,可以有效的处理这一问题.public class Prepared {@Testpublic void papa(){Conne...

			
		

	





	

		

			

				
					
JDBC解决SQL注入问题

				
			

			

				

					MarconiYe的博客
				

				

					04-04
					
					874
					
				

			

		

		

			
				
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章)

Statement接口:
先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机
PrepareStatement接口:
先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题

Statement state = con.createStatement();
S

			
		

	





	

		

			

				
					
JDBC——SQL注入与解决SQL注入的方法

				
			

			

				

					hjk12345678910的博客
				

				

					04-13
					
					537
					
				

			

		

		

			
				
SQL注入原理
如下列代码
 String sql="select * from t_user where loginName='"+userLoginInfo.get("loginName")+"' and passWord='"+userLoginInfo.get("passWord")+"'";
 rs=s.executeQuery(sql);

在接收用户输入用户名和密码时,如果用户输入用户名为qw,密码输入qw’ or ‘1’='1,则执行的sql语句变为
select * from hero w

			
		

	





	

		

			

				
					
JDBC学习(三) --------- SQL注入现象及解决方案

				
			

			

				

					在森林里麋了鹿
				

				

					10-19
					
					275
					
				

			

		

		

			
				
目录一、SQL注入现象演示二、解决方案

一、SQL注入现象演示
且看一份Java实现登录功能的代码,其中使用了JDBC连接了t_user表,如果输入的姓名和密码在此表中存在,则显示登录成功。反之,则显示登录失败。
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/*
    模拟实现用户登录功能
 */
public class JDBCTest06 {
    pu

			
		

	





	

		

			

				
					
SQL注入小结】

				
			

			

				

					左小林的博客
				

				

					02-11
					
					2374
					
				

			

		

		

			
				
SQL注入小结一:什么是SQL注入二:SQL注入攻击实例三:如何防御SQL注入1. 检查变量的数据格式和数据类型2. 过滤特殊字符3. 使用预编译功能四:什么是预编译五:MyBatis怎么防范SQL注入1.mybatis中的#和$的区别:2.mybatis是如何做到防止sql注入的:
一:什么是SQL注入
SQL注入是一种网络上常见的攻击方式,是通过对程序员编写代码疏忽进行攻击的,通常通过SQL语句来实现无账号登录等操作.
二:SQL注入攻击实例
String sql = "select * from us

			
		

	





	

		

			

				
					
JDBC的SQL注入漏洞分析和解决

				
			

			

				

					qq_40208605的博客
				

				

					03-11
					
					366
					
				

			

		

		

			
				
1.1.1SQL注入漏洞分析



1.1.2SQL注入漏洞解决

需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。

[AppleScript]纯文本查看复制代码

?


			01

			02

			03

			04

...

			
		

	





	

		

			

				
					
数据库——占位符的使用

				
			

			

				

					java小知识分享
				

				

					05-25
					
					4583
					
				

			

		

		

			
				
使用占位符的好处
1   避开了SQL语句注入的风险
    SQL注入风险:使用Statement接口操作的sql语句需要使用字符串拼接的方式实现,这样的方式可能存在sql注入的安全风险并且拼接字符串比较麻烦的

2  传入字符串参数时无需用再用单引号包裹
观察如下两段代码:
代码一:不使用占位符
public class JdbcTest {
    public static void ma...

			
		

	





	

		

			

				
					
mysql占位符的作用_sql语句中的占位符?有什么作用

				
			

			

				

					weixin_39599081的博客
				

				

					01-21
					
					2346
					
				

			

		

		

			
				
String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ;pstmt = conn.prepareStatement(sql) ;pstmt.setString(1,userid) ; // 这里设置了第一个?的值pstmt.setString(2,password) ; // 这里设置了第二个?的值 等...

			
		

	





	

		

			

				
					
sql 占位符  sql注入

					
最新发布

				
			

			

				

					06-08
				

			

		

		

			
				
好的,您的问题是关于 SQL 占位符SQL 注入的。SQL 占位符是一种在 SQL 查询中使用的技术,它通过将值动态地插入到 SQL 语句中来避免 SQL 注入攻击。SQL 注入是一种通过在输入中注入恶意代码来攻击数据库的技术。...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 5

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值