Java开发笔记（一百四十九）引入预报告的好处

前面介绍了各类SQL语句的调用过程，虽然例子代码写死了每一个SQL串，可是彻底能够把查询条件做为方法参数传进来。好比如今想删除某个课程的教师记录，那么在编写删除方法时，就把课程名称做为该方法的一个输入参数。据此编写的方法代码示例以下：

	// 删除记录
	private static void deleteRecord(Statement stmt, String course) throws SQLException {
		String sql = String.format("delete from teacher where course='%s'", course);
		int count = stmt.executeUpdate(sql); // 执行处理语句
		System.out.println("待执行的SQL语句："+sql);
		System.out.println("删除记录语句的返回结果为"+count);
	}

 

接着外部准备调用上面的deleteRecord方法，第二个课程参数填“化学”，表示但愿删除全部化学老师的记录，调用代码以下所示：

			deleteRecord(stmt, "化学"); // 删除记录

 

运行包含以上代码的测试程序，观察到如下的输出日志。

待执行的SQL语句：delete from teacher where course='化学'
删除记录语句的返回结果为1

从日志信息可见，只删除一条化学老师的记录，看起来彷佛一切正常。不过课程参数由外部传入，谁知道课程字符串是什么东西呢？假若有人闲得发慌，在键盘上随便输了几个字符，像“' or '1'='1”这样的字符串看成课程名称。因而删除方法的调用代码变成了下面这般：

			deleteRecord(stmt, "' or '1'='1"); // 删除记录

 

再次运行测试程序，发现输出日志变得有点不对劲：

待执行的SQL语句：delete from teacher where course='' or '1'='1'
删除记录语句的返回结果为4

 

没想到随便输的几个字符居然也让SQL语句执行了，并且是把teacher表的剩余记录删得精光。这可不得了了，原语句的格式明明只肯删除特定课程的记录，为啥执行结果截然不同呢？原因在于待执行的SQL语句呆板地将课程字符串原样填了进去，形成出现“or '1'='1'”这种极端条件，天然MySQL忠实地删光了teacher表。诸如此类的SQL缺陷，人称SQL注入漏洞，它经常被黑客利用随心所欲，形成重大损失。
上述的实验结果暴露了报告机制的安全问题，一旦条件参数被人恶意篡改，就可能产生意料以外的严重情况。为此JDBC又设计了另外一种预报告机制，预报告定义了新类PreparedStatement，与原报告Statement不一样的是，建立预报告对象时就要设定SQL语句，而且SQL里面的动态参数以问号代替。而后准备调用executeUpdate或者executeQuery以前，先调用预报告对象的setString方法来设置对应序号的参数值。下面即是引入预报告以后的数据库操做代码例子：

	// 测试预报告的处理
	private static void testPreparedStatement() {
		String sql = "delete from teacher where course=?";
		// 先获取数据库的链接，再建立链接的预报告
		try (Connection conn = DriverManager.getConnection(dbUrl, dbUserName, dbPassword);
				PreparedStatement stmt = conn.prepareStatement(sql)) {
			//stmt.setString(1, "化学"); // 设置对应序号的参数值
			stmt.setString(1, "'' or 1=1"); // 设置对应序号的参数值
			int count = stmt.executeUpdate(); // 执行处理语句
			System.out.println("预先准备的SQL语句："+stmt.toString());
			System.out.println("删除记录语句的返回结果为"+count);
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

 

仍以以前的恶意字符串为例，上面代码在调用setString方法时填入了“' or '1'='1”，意图继续浑水摸鱼。运行包含testPreparedStatement方法的测试程序，观察到的日志信息以下所示：

预先准备的SQL语句：com.mysql.cj.jdbc.ClientPreparedStatement: delete from teacher where course='\'\' or 1=1'
删除记录语句的返回结果为0

 

从日志结果可见，此次捣乱行为没有得逞，一条记录都没删除。注意此时的条件语句变为“course='\'\' or 1=1'”，显然预报告把字符串中的单引号作了转义，使得转义后的条件语句格式不正确，也就没能成功执行SQL。由此证实预报告PreparedStatement提高了数据库操做的安全性，凡是须要动态传入参数的SQL语句，最好采起预报告机制加以处理。

更多Java技术文章参见《Java开发笔记（序）章节目录》