为啥jdbc问号占位符可以防注入

最新推荐文章于 2024-08-06 20:17:00 发布
置顶 最新推荐文章于 2024-08-06 20:17:00 发布
阅读量5.8k 收藏 2
点赞数 2
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang_best/article/details/54949399
版权

最近几天探讨一下关于sql注入的问题,以前林老师也讲过,现在总结一下,

其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。

建议使用instr()函数,本文主要记录一下处理防止注入的源码,为什么用?可以防注入,而拼接的sql可以注入。

先看下面用占位符来查询的一句话

String sql = "select * from administrator where adminname=?";
psm = con.prepareStatement(sql);

String s_name ="zhangsan' or '1'='1";
psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名,

用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?

首先,setString()的源码中只有方法名字,并没有任何过程性处理,

那么答案肯定出现在Java到数据库这个过程中,也就是mysql和oracle驱动包中,在mysql驱动包中,PreparedStatement继承并实现了jdk中的setString方法,翻看一下源码,主要是做了转义处理,

也就是原因在于数据库厂商帮你解决了这个问题,下面就看看这个方法的具体实现:

public void setString(int parameterIndex, String x)
        throws SQLException
    {
        if(x == null)
        {
            setNull(parameterIndex, 1);
        } else
        {
            checkClosed();
            int stringLength = x.length();
            if(connection.isNoBackslashEscapesSet())
            {
                boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
                if(!needsHexEscape)
                {
                    byte parameterAsBytes[] = null;
                    StringBuffer quotedString = new StringBuffer(x.length() + 2);
                    quotedString.append('\'');
                    quotedString.append(x);
                    quotedString.append('\'');
                    if(!isLoadDataQuery)
                        parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                    else
                        parameterAsBytes = quotedString.toString().getBytes();
                    setInternal(parameterIndex, parameterAsBytes);
                } else
                {
                    byte parameterAsBytes[] = null;
                    if(!isLoadDataQuery)
                        parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                    else
                        parameterAsBytes = x.getBytes();
                    setBytes(parameterIndex, parameterAsBytes);
                }
                return;
            }
            String parameterAsString = x;
            boolean needsQuoted = true;
            if(isLoadDataQuery || isEscapeNeededForString(x, stringLength))
            {
                needsQuoted = false;
                StringBuffer buf = new StringBuffer((int)((double)x.length() * 1.1000000000000001D));
                buf.append('\'');
                for(int i = 0; i < stringLength; i++)
                {
                    char c = x.charAt(i);
                    switch(c)
                    {
                    case 0: // '\0'
                        buf.append('\\');
                        buf.append('0');
                        break;

                    case 10: // '\n'
                        buf.append('\\');
                        buf.append('n');
                        break;

                    case 13: // '\r'
                        buf.append('\\');
                        buf.append('r');
                        break;

                    case 92: // '\\'
                        buf.append('\\');
                        buf.append('\\');
                        break;

                    case 39: // '\''
                        buf.append('\\');
                        buf.append('\'');
                        break;

                    case 34: // '"'
                        if(usingAnsiMode)
                            buf.append('\\');
                        buf.append('"');
                        break;

                    case 26: // '\032'
                        buf.append('\\');
                        buf.append('Z');
                        break;

                    default:
                        buf.append(c);
                        break;
                    }
                }

                buf.append('\'');
                parameterAsString = buf.toString();
            }
            byte parameterAsBytes[] = null;
            if(!isLoadDataQuery)
            {
                if(needsQuoted)
                    parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
                else
                    parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
            } else
            {
                parameterAsBytes = parameterAsString.getBytes();
            }
            setInternal(parameterIndex, parameterAsBytes);
            parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;
        }
    }


gogo_hua
关注
专栏目录
mysql的jdbc注入占位符_JDBC_mysql---sql注入,存储图片
weixin_26876073的博客
02-08 100
packagePreparedStatement_sql注入;importjava.io.File;importjava.io.FileInputStream;importjava.io.InputStream;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;import...
mysql的jdbc注入占位符_JDBC中的PreparedStatement-SQL注入攻击
weixin_30590615的博客
01-28 120
package org.lyk.main;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import org.apache.commons.dbcp2.BasicDataSource;public class Ma...
jdbc 占位符 “ ?”
最新发布
m0_74276153的博客
08-06 187
【代码】jdbc 占位符 “?
mysql的jdbc注入占位符_jdbc怎么sql注入
weixin_30453651的博客
01-28 350
JDBC-sql注入漏洞使用预编译可有效止sql的注入漏洞。原因:在statement中不能够有效的止sql的注入漏洞,在于用户传入参数的时候可能会传入一些特殊字符,比如单引号' ' ,或者是-- 这种会影响到我们的sql语句.所以使用预编译中的占位符,也就是?,可以有效的处理这一问题.public class Prepared {@Testpublic void papa(){Conne...
mysql的jdbc注入占位符_java的jdbc问号占位符可以注入
weixin_29313547的博客
01-19 243
java的jdbc问号占位符可以注入吗发布时间:2020-06-15 10:09:02来源:亿速云阅读:154作者:Leahjava的jdbc问号占位符可以注入吗?如果你刚好也有这个困惑,不妨参照这篇文章。阅读完整文相信大家对java的占位符有了一定的认识。其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。建议使用instr()函数,本文主要记录...
jdbc占位符
05-31
使用占位符的好处是可以避免SQL注入攻击,同时也可以提高查询性能,因为数据库可以预编译和缓存查询语句。 例如,以下是一个使用JDBC占位符的查询示例: ``` String sql = "SELECT * FROM users WHERE username = ...
占位符查询
11-20
4. **占位符查询**:在构造SQL或HQL语句时,可以使用参数化查询(即占位符查询),这种方式可以避免SQL注入等问题,并且提高了查询效率。 #### 三、具体示例分析 ##### 示例1:使用HQL进行占位符查询 在给定的...
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(sql注入方式)
10-01
)是占位符JDBC会自动处理用户输入的数据,确保它们被安全地作为参数传递,而非直接拼接到SQL字符串中。 此外,为了提高代码的可读性和复用性,我们可以创建一个JDBC工具类,封装数据库连接、关闭资源等常用操作...
SQL语句填充占位符
04-22
SQL语句填充占位符是一种编程技术,它允许我们创建一个带有占位符的静态SQL模板,然后在运行时根据实际参数动态地替换这些占位符。这种方法提高了代码的可读性和安全性,减少了手动构造SQL字符串的需求。 在Java中...
5、jdbc直连模式下的迷糊查询关键字insql注入的理解
q17709583436的博客
05-19 436
一般我们处理sql注入问题都是通过参数化查询,但是有些sql对于有些迷糊查询的sql 语句比如 String sql = "selet * from table_name where target_id in ('111','222','333','444')"; 那么我们如果对这种进行参数化查询呢? 1、首先我们要变成问号? 使用的方法是: public static String getMe(Collection<String> params) { Strin
jdbcsql注入问题
m_target的博客
07-28 692
java.sql 接口 PreparedStatement    表示预编译的 SQL 语句的对象 是Statement的子类     特点:             性能高、会把sql语句预先编译、sql语句中的参数会发生变化,过滤掉用户输入的关键字 public class LoginDemo { public static void main(String[] args) {...
jdbc之使用占位符的增删改查
热门推荐
计算机技术学习与应用
01-10 2万+
package com.hanchao.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; /** * jdbc学习总结二 * @author hanlw * 2012-07-09 */
JDBC中 like 的占位符写法
moqiyong666的博客
05-10 1456
--Oracle: select * from d_menu where name like '%'||?||'%' --MySQL select * from d_menu where name like concat('%',?,'%') --或者 select * from d_menu where name like '%' ? '%' --问好两边的空格一定不能少
JDBC中?占位符的设置
an_gentle_killer的博客
05-11 4156
jdbc中的插入为例使用?占位符 package com.jdbc; import java.sql.*; import java.util.Date; public class PlaceHolder { public static void main(String[] args) throws ClassNotFoundException, SQLException { //加载驱动 //forName抛出异常 ClassNotFoundExceptio.
java postgresql json_java – 如何通过JDBC使用包含问号“?”的PostgreSQL JSON(B)运算符...
weixin_32466167的博客
02-12 381
有两种可能的解决方法:使用静态语句而不是预处理语句这是最简单的解决方法,但是您将失去预准备语句的所有好处(性能,SQL注入保护等).但是,这将有效try (Statement s = c.createStatement();ResultSet rs = s.executeQuery("select '{}'::jsonb ?| array['a', 'b']")) {...}避免运算符.改为使用函...
SQL中LIKE '%' 与 PreparedStatement的占位符 ? 使用方法
LiQiyao的博客
04-27 6090
LIKE name='%xxx%'是SQL提供的一种模糊查询方式,用%号代替任意字符。 PreparedStatement是Java提供的一种包含预处理的数据库连接查询方式,这种方式很方便,可以通过如下代码做查询:PreparedStatement pstm = connection.prepareStatement("SELECT * FROM t1 WHERE name=?");问号就是占位
jdbc学习总结2---使用占位符的增删改查
weixin_34362991的博客
11-08 403
package com.hanchao.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; /** * j...
JDBC连接如何SQL注入
lucyLee的博客
10-07 5081
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值