使用jdbc拼接条件查询语句时如何防止sql注入
本人微信公众号,欢迎扫码关注!sql
使用jdbc拼接条件查询语句时如何防止sql注入
- 最近公司的项目在上线时须要进行安全扫描,可是有几个项目中含有部分老代码,操做数据库时使用的是jdbc,而且居然好多都是拼接的SQL语句,真是使人抓狂。
- 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思路请参考下面的示例代码。
1 数据库示例数据
2 使用statement(不防止SQL注入)
2.1 示例代码
@Test
public void statementTest() {
String username = "tom";
String sex = "1";
String address = "' or '1'='1";
Statement stat = null;
ResultSet res = null;
Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";
sql += username == null ? "" : " AND username = '" + username + "'";
sql += sex == null ? "" : " AND sex = '" + sex + "'";
sql += address == null ? "" : " AND address = '" + address + "'";
System.out.println(sql);
try {
stat = conn.createStatement();
res = stat.executeQuery(sql);
printRes(res);
} catch (SQLException e) {
e.printStackTrace();
} finally {
ResourceClose.close(res, stat, conn);
}
}
2.2 控制台结果
SELECT * FROM user WHERE 1 = 1 AND username = 'tom' AND sex = '1' AND address = '' or '1'='1' 10 tom 2014-07-10 1 beijing 16 tom 2018-07-31 1 shanghai 22 tom 2019-04-16 2 shanghai 24 tom 2019-06-22 1 guangzhou 25 tom 2019-01-22 2 guangzhou 28 tom 2018-07-31 1 shenzhen
2.3 小结
- 通过上面的示例代码咱们能够发现,单纯拼接SQL语句是很是危险的,特别容易被SQL注入,可是若是使用prepareStatement的话,像这种条件查询咱们预先并不能肯定到底有多少个?(占位符),也就不能使用按照?(占位符)索引去设置参数了,那怎么办呢?
- 别担忧,此时咱们使用一个小小的技巧,具体参考下面的示例代码
3 使用prepareStatement(能够防止SQL注入)
3.1 示例代码
@Test
public void prepareStatementTest() {
String username = "tom";
String sex = null;
String address = "' or '1'='1";
PreparedStatement stat = null;
ResultSet res = null;
Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";
List<Object> param = new ArrayList<>();
if (username != null) {
sql += " AND username = ?";
param.add(username);
}
if (sex != null) {
sql += " AND sex = ?";
param.add(sex);
}
if (address != null) {
sql += " AND address = ?";
param.add(address);
}
System.out.println(sql);
try {
stat = conn.prepareStatement(sql);
for (int i = 0; i < param.size(); i++) {
stat.setObject(i+1,param.get(i));
}
res = stat.executeQuery();
printRes(res);
} catch (SQLException e) {
e.printStackTrace();
} finally {
ResourceClose.close(res, stat, conn);
}
}
3.2 控制台结果
SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?
3.3 小结
- 能够看出,使用prepareStatement是能够防止SQL注入的。
- 但进行相似条件拼接这种操做时,能够先把参数放入一个集合中,而后遍历集合,同时利用setObject(index,obj)这个方法就能够动态的获取参数的索引了,并且不用关心参数是何种类型。
4 问题总结
- 现在在进行项目开发时已经不多使用原生的jdbc了,大多数都用功能强大的框架去完成,他们帮咱们简化了不少操做,如获取数据库链接、封装结果集、SQL预编译(能够防止SQL注入)
- 若是实在避免不了使用的话必定要使用能够需编译的prepareStatement对象,避免被SQL注入带来的风险。
相关文章
- 1. StringBuilder--拼接Sql语句防Sql注入
- 2. 查询拼接SQL语句,多条件模糊查询
- 3. JDBC 如何有效防止 SQL 注入
- 4. 多条sql语句带条件查询拼接
- 5. Sql 时间条件查询语句
- 6. 如何防止sql注入
- 7. spring jdbc多条件查询(参数化传参,防止sql注入风险)
- 8. c#执行sql语句里面带有like查询的时候如何防止sql注入
- 9. mybatis模糊查询防止sql注入
- 10. nodejs中查询mysql防止SQL注入
- 更多相关文章...
- • XSD 如何使用? - XML Schema 教程
- • MySQL WHERE:条件查询 - MySQL教程
- • Java Agent入门实战(一)-Instrumentation介绍与使用
- • Java Agent入门实战(三)-JVM Attach原理与使用
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
