sql占位符

最新推荐文章于 2024-09-30 14:39:51 发布
最新推荐文章于 2024-09-30 14:39:51 发布
阅读量1.5k 收藏
点赞数

http://blog.csdn.net/yan465942872/article/details/6753957


这两天在上课时被同学拿了一段代码问我,这段代码有什么问题,我看了一会说:Connection和PreparedStatement都没关。他说不止这方面的问题,还有sql注入的问题,我就坚决的说使用了占位符不存在sql注入的问题,但是他提出了一种情况,在我看来也很有道理的情况。

[java] view plaincopy
  1. pstmt = conn.prepareStatement("delete from user where user.id=?");  
pstmt.setString(1, "w");他认为如果把代码写成这样就有注入问题了
[java] view plaincopy
  1. pstmt = conn.prepareStatement("delete from user where user.id=?");  
  2. pstmt.setString(1"w' or '2'='2");  

当时我看了只能告诉他一定不存在注入问题,因为在我的想法中我一直记得的是用占位符能解决注入问题,至于怎么解决的就不知道了,看了上面的代码也很有道理,感觉setString后的sql语句应该是
[sql] view plaincopy
  1. delete from user where user.id='w' or '2'='2';  


回到宿舍我专门写了程序测试一下,事实证明并不想我们想的这样,的确使用占位符不存在注入问题,所以解释是在执行的时候把一些字符给转义了,但这个转义的过程是在什么地方转义的呢,把上面的sql语句在mysql控制台上运行一下,查看一下数据看到所有数据都被删除完,那只能解释成在java程序中转义的,于是我就去看java的源代码,发现在java源码中PreparedStatement只是一个接口,而且是没有子类的接口,我就很纳闷,没实现怎么用的?所以一定有实现的地方,去网上查了一下,jdk直提供接口,而具体实现是由数据库厂商实现的,我们用的就是数据库厂商实现的类。于是我就又去查mysql的jar包源码,发现有个PreparedStatement实现了jdk中的PreparedStatement了。里面的setString方法如下实现:

[java] view plaincopy
  1. public void setString(int parameterIndex, String x) throws SQLException {  
  2.         // if the passed string is null, then set this column to null  
  3.         if (x == null) {  
  4.             setNull(parameterIndex, Types.CHAR);  
  5.         } else {  
  6.             StringBuffer buf = new StringBuffer((int) (x.length() * 1.1));  
  7.             buf.append('\'');  
  8.   
  9.             int stringLength = x.length();  
  10.   
  11.             //  
  12.             // Note: buf.append(char) is _faster_ than  
  13.             // appending in blocks, because the block  
  14.             // append requires a System.arraycopy()....  
  15.             // go figure...  
  16.             //  
  17.             for (int i = 0; i < stringLength; ++i) {  
  18.                 char c = x.charAt(i);  
  19.   
  20.                 switch (c) {  
  21.                 case 0/* Must be escaped for 'mysql' */  
  22.                     buf.append('\\');  
  23.                     buf.append('0');  
  24.   
  25.                     break;  
  26.   
  27.                 case '\n'/* Must be escaped for logs */  
  28.                     buf.append('\\');  
  29.                     buf.append('n');  
  30.   
  31.                     break;  
  32.   
  33.                 case '\r':  
  34.                     buf.append('\\');  
  35.                     buf.append('r');  
  36.   
  37.                     break;  
  38.   
  39.                 case '\\':  
  40.                     buf.append('\\');  
  41.                     buf.append('\\');  
  42.   
  43.                     break;  
  44.   
  45.                 case '\'':  
  46.                     buf.append('\\');  
  47.                     buf.append('\'');  
  48.   
  49.                     break;  
  50.   
  51.                 case '"'/* Better safe than sorry */  
  52.                     if (this.usingAnsiMode) {  
  53.                         buf.append('\\');  
  54.                     }  
  55.   
  56.                     buf.append('"');  
  57.   
  58.                     break;  
  59.   
  60.                 case '\032'/* This gives problems on Win32 */  
  61.                     buf.append('\\');  
  62.                     buf.append('Z');  
  63.   
  64.                     break;  
  65.   
  66.                 default:  
  67.                     buf.append(c);  
  68.                 }  
  69.             }  
  70.   
  71.             buf.append('\'');  
  72.   
  73.             String parameterAsString = buf.toString();  
  74.   
  75.             byte[] parameterAsBytes = null;  
  76.   
  77.             if (!this.isLoadDataQuery) {  
  78.                 parameterAsBytes = StringUtils.getBytes(parameterAsString,  
  79.                         this.charConverter, this.charEncoding, this.connection  
  80.                                 .getServerCharacterEncoding(), this.connection  
  81.                                 .parserKnowsUnicode());  
  82.             } else {  
  83.                 // Send with platform character encoding  平台字符编码
  84.                 parameterAsBytes = parameterAsString.getBytes();  
  85.             }  
  86.   
  87.             setInternal(parameterIndex, parameterAsBytes);  
  88.         }  
  89.     }  

到此就告一段落,可以发现在setString时最外面的单引号被转义了,也就是说setString后的sql语句是这样的

[sql] view plaincopy
  1. delete from user where user.id=\'w' or '2'='2\';  
而且仔细看会发现在setString中是一个字符一个字符的解析,该转义的都已经转义,正如他一句注释中写的Better safe than sorry.所以最终,占位符确实不存在注入问题
yyf_ad
关注
JS替换SQL占位符替换工具 Fix placeholder
04-06
通过JS替换SQL占位符,开发者可以更安全、高效地构建动态SQL语句,减少手动操作带来的错误和风险。 不过,由于缺少具体的源码和详细信息,以上只是一种基于标题和标签的推测。要深入了解这个工具的工作原理和具体...
代码审计.jfinal.sql注入
qq_34012951的博客
03-03 405
预编译未用占位符,无效预防sql注入。
jfinal多条件查询防止SQL注入
huangbaokang的博客
05-08 2325
String sql = "select * from user where 1 = 1 "; List<Object> params = new ArrayList<Object>(); if(!StringUtils.isEmpty(username)){ sql += " and username like ?"...
SQL占位符
最新发布
m0_51548758的博客
09-30 434
问号(?:最常用的占位符,适用于多种数据库。命名占位符(如 :name):提高可读性,强烈建议使用。百分号(%):在 LIKE 查询中作为通配符使用。数字占位符:特定数据库系统中,使用参数的位置索引。使用这些占位符可以提高 SQL 查询的安全性和可读性,减少 SQL 注入的风险。
Oracle的动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL中使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
SQL占位符?的用法介绍~
热门推荐
程序人生~
11-14 3万+
Sql语句中的占位符?有什么作用 String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,pas...
MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件中多查询,多条件中单查询)
prisoneradvance的博客
03-06 1287
占位符
SQL语句填充占位符
04-22
此外,还有一些第三方库,如MyBatis和Hibernate,提供了更高级的SQL占位符处理机制。MyBatis允许在XML映射文件或注解中使用#{param}作为占位符,Hibernate则支持HQL(Hibernate Query Language)和Criteria API,...
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
Mybatis日志参数快速替换占位符工具是一个实用的辅助工具,它可以帮助开发者在调试过程中更方便地查看和理解Mybatis执行的SQL语句。在默认的日志输出中,Mybatis使用占位符(?)表示传入的参数,这在某些情况下可能...
Mybatis日志SQL解析工具
03-22
该工具可以将mybatis输出的sql日志提取出来,并将其格式化为可以直接执行的sql语句,节约开发人员时间
占位符查询
11-20
4. **占位符查询**:在构造SQL或HQL语句时,可以使用参数化查询(即占位符查询),这种方式可以避免SQL注入等问题,并且提高了查询效率。 #### 三、具体示例分析 ##### 示例1:使用HQL进行占位符查询 在给定的...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
jfinal中拦截器(Interceptor)的参数注入
02-26
jfinal中拦截器(Interceptor)的参数注入jfinal中拦截器(Interceptor)的参数注入
java 防sql注入
xiaojunhu的专栏
03-10 142
package com.cssweb.webcall.util; //: 防止一般SQL注入 // 调用方法:PreventInfusion.sqlInfusion(str); public class PreventInfusion { private static final String inj_str = "'@and@exec@insert@select@delete@...
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 3262
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
聊聊 SQL 语句中的占位符
yangshuquan的专栏
08-21 827
大家都知道,在 SQL 语句中,可以使用 LIKE 进行模糊查询,但可能大家不知道的是,LIKE 语句的占位符除了 % 占位符之外,还有 _ 占位符,理解这些占位符可以帮助我们更有效地构造查询并进行字符串匹配,提高程序性能
jfinal_sql注入问题解决
weixin_30566063的博客
03-01 881
sql注入(百度的): 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露...
sql占位符的使用
欢迎访问,Viola的博客!
07-16 1万+
1.增加SQL代码可读性2.占位符可以预先编译,提高执行效率3.防止SQL注入4用占位符的目的是绑定变量,这样可以减少数据SQL的硬解析,所以执行效率会提高不少 绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能。然刀子磨的太快,...
mybatis 动态sql 占位符
09-05
MyBatis中的动态SQL占位符可以通过使用`${}`或`#{}`来实现。这两种占位符的使用场景略有不同。 `${}`占位符会直接将占位符内的内容替换为对应的值,相当于SQL语句中的字符串替换。这种占位符可以应用于任何部分,包括表名、字段名、条件等。但是需要注意的是,使用`${}`占位符可能存在SQL注入的风险,因为它会直接把占位符替换为值。 `#{}`占位符会将占位符内的内容作为参数传递给数据库,相当于SQL语句中的参数。这种占位符主要用于传递参数值,可以在条件语句、插入语句、更新语句等中使用。使用`#{}`占位符可以有效防止SQL注入。 下面是一个使用`${}`和`#{}`占位符的例子: ```xml <!-- 使用${}占位符的例子 --> <select id="getUserById" resultType="User"> SELECT * FROM user WHERE id = ${userId} </select> <!-- 使用#{}占位符的例子 --> <insert id="insertUser" parameterType="User"> INSERT INTO user (name, age) VALUES (#{name}, #{age}) </insert> ``` 在使用动态SQL时,你可以结合条件判断、循环等标签来动态生成SQL语句,从而实现更复杂的查询和操作。希望以上信息能对你有所帮助!如果有更多问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值