使用jdbc拼接條件查詢語句時如何防止sql注入
本人微信公衆號,歡迎掃碼關注!sql
使用jdbc拼接條件查詢語句時如何防止sql注入
- 最近公司的項目在上線時須要進行安全掃描,可是有幾個項目中含有部分老代碼,操做數據庫時使用的是jdbc,而且居然好多都是拼接的SQL語句,真是使人抓狂。
- 在具體改造時,必須使用PreparedStatement來防止SQL注入,普通SQL語句比較容易改造,本重點探討在拼接查詢條件的時候如何方式SQL注入,具體思路請參考下面的示例代碼。
1 數據庫示例數據
2 使用statement(不防止SQL注入)
2.1 示例代碼
@Test
public void statementTest() {
String username = "tom";
String sex = "1";
String address = "' or '1'='1";
Statement stat = null;
ResultSet res = null;
Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";
sql += username == null ? "" : " AND username = '" + username + "'";
sql += sex == null ? "" : " AND sex = '" + sex + "'";
sql += address == null ? "" : " AND address = '" + address + "'";
System.out.println(sql);
try {
stat = conn.createStatement();
res = stat.executeQuery(sql);
printRes(res);
} catch (SQLException e) {
e.printStackTrace();
} finally {
ResourceClose.close(res, stat, conn);
}
}
2.2 控制檯結果
SELECT * FROM user WHERE 1 = 1 AND username = 'tom' AND sex = '1' AND address = '' or '1'='1' 10 tom 2014-07-10 1 beijing 16 tom 2018-07-31 1 shanghai 22 tom 2019-04-16 2 shanghai 24 tom 2019-06-22 1 guangzhou 25 tom 2019-01-22 2 guangzhou 28 tom 2018-07-31 1 shenzhen
2.3 小結
- 通過上面的示例代碼咱們能夠發現,單純拼接SQL語句是很是危險的,特別容易被SQL注入,可是若是使用prepareStatement的話,像這種條件查詢咱們預先並不能肯定到底有多少個?(佔位符),也就不能使用按照?(佔位符)索引去設置參數了,那怎麼辦呢?
- 別擔憂,此時咱們使用一個小小的技巧,具體參考下面的示例代碼
3 使用prepareStatement(能夠防止SQL注入)
3.1 示例代碼
@Test
public void prepareStatementTest() {
String username = "tom";
String sex = null;
String address = "' or '1'='1";
PreparedStatement stat = null;
ResultSet res = null;
Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";
List<Object> param = new ArrayList<>();
if (username != null) {
sql += " AND username = ?";
param.add(username);
}
if (sex != null) {
sql += " AND sex = ?";
param.add(sex);
}
if (address != null) {
sql += " AND address = ?";
param.add(address);
}
System.out.println(sql);
try {
stat = conn.prepareStatement(sql);
for (int i = 0; i < param.size(); i++) {
stat.setObject(i+1,param.get(i));
}
res = stat.executeQuery();
printRes(res);
} catch (SQLException e) {
e.printStackTrace();
} finally {
ResourceClose.close(res, stat, conn);
}
}
3.2 控制檯結果
SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?
3.3 小結
- 能夠看出,使用prepareStatement是能夠防止SQL注入的。
- 但進行相似條件拼接這種操做時,能夠先把參數放入一個集合中,而後遍歷集合,同時利用setObject(index,obj)這個方法就能夠動態的獲取參數的索引了,並且不用關心參數是何種類型。
4 問題總結
- 現在在進行項目開發時已經不多使用原生的jdbc了,大多數都用功能強大的框架去完成,他們幫咱們簡化了不少操做,如獲取數據庫鏈接、封裝結果集、SQL預編譯(能夠防止SQL注入)
- 若是實在避免不了使用的話必定要使用能夠需編譯的prepareStatement對象,避免被SQL注入帶來的風險。
相關文章
- 1. StringBuilder--拼接Sql語句防Sql注入
- 2. 查詢拼接SQL語句,多條件模糊查詢
- 3. JDBC 如何有效防止 SQL 注入
- 4. 多條sql語句帶條件查詢拼接
- 5. Sql 時間條件查詢語句
- 6. 如何防止sql注入
- 7. spring jdbc多條件查詢(參數化傳參,防止sql注入風險)
- 8. c#執行sql語句裏面帶有like查詢的時候如何防止sql注入
- 9. mybatis模糊查詢防止sql注入
- 10. nodejs中查詢mysql防止SQL注入
- 更多相關文章...
- • XSD 如何使用? - XML Schema 教程
- • MySQL WHERE:條件查詢 - MySQL教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
- • Java Agent入門實戰(三)-JVM Attach原理與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
