2. 程式人生 > >PreparedStatement是如何防止SQL注入的?

PreparedStatement是如何防止SQL注入的?

阿新 發佈:2018-12-11

為什麼在Java中PreparedStatement能夠有效防止SQL注入?這可能是每個Java程式設計師思考過的問題。

首先我們來看下直觀的現象(注:需要提前開啟mysql的SQL文列印

1. 不使用PreparedStatement的set方法設定引數(效果跟Statement相似,相當於執行靜態SQL)

String param = "'test' or 1=1";
String sql = "select file from file where name = " + param; // 拼接SQL引數
PreparedStatement preparedStatement 
 
= connection.prepareStatement(sql);
ResultSet resultSet = preparedStatement.executeQuery();
System.out.println(resultSet.next());

輸出結果為true,DB中執行的SQL為

-- 永真條件1=1成為了查詢條件的一部分,可以返回所有資料,造成了SQL注入問題select file from file where name = 'test' or 1=1

2. 使用PreparedStatement的set方法設定引數

String param =
 
 "'test' or 1=1";
String sql = "select file from file where name = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, param);
ResultSet resultSet = preparedStatement.executeQuery();
System.out.println(resultSet.next());

輸出結果為false,DB中執行的SQL為

select file from file where name = '\'test\' or 1=1'

我們可以看到輸出的SQL文是把整個引數用引號包起來,並把引號作為轉義字元,從而避免了引數也作為條件的一部分

接下來我們分析下原始碼(以mysql驅動實現為例)

開啟java.sql.PreparedStatement通用介面,看到如下注釋,瞭解到PreparedStatement就是為了提高statement(包括SQL,儲存過程等)執行的效率。

An object that represents a precompiled SQL statement.A SQL statement is precompiled and stored in a PreparedStatement object. This object can then be used to efficiently execute this statement multiple times.

那麼,什麼是所謂的“precompiled SQL statement”呢?

回答這個問題之前需要先了解下一個SQL文在DB中執行的具體步驟:

  1. Convert given SQL query into DB format -- 將SQL語句轉化為DB形式(語法樹結構)
  2. Check for syntax -- 檢查語法
  3. Check for semantics -- 檢查語義
  4. Prepare execution plan -- 準備執行計劃(也是優化的過程,這個步驟比較重要,關係到你SQL文的效率,準備在後續文章介紹)
  5. Set the run-time values into the query -- 設定執行時的引數
  6. Run the query and fetch the output -- 執行查詢並取得結果

而所謂的“precompiled SQL statement”,就是同樣的SQL文(包括不同引數的),1-4步驟只在第一次執行,所以大大提高了執行效率(特別時對於需要重複執行同一SQL的)

言歸正傳,回到source中,我們重點關注一下setString方法(因為其它設定引數的方法諸如setInt,setDouble之類,編譯器會檢查引數型別,已經避免了SQL注入。)

檢視mysql中實現PreparedStatement介面的類com.mysql.jdbc.PreparedStatement中的setString方法(部分程式碼)

    public void setString(int parameterIndex, String x) throws SQLException {
        synchronized (checkClosed().getConnectionMutex()) {
            // if the passed string is null, then set this column to null
            if (x == null) {
                setNull(parameterIndex, Types.CHAR);
            } else {
                checkClosed();

                int stringLength = x.length();

                if (this.connection.isNoBackslashEscapesSet()) {
                    // Scan for any nasty chars                    // 判斷是否需要轉義處理(比如包含引號,換行等字元)
                    boolean needsHexEscape = isEscapeNeededForString(x, stringLength);                     // 如果不需要轉義,則在兩邊加上單引號
                    if (!needsHexEscape) {
                        byte[] parameterAsBytes = null;

                        StringBuilder quotedString = new StringBuilder(x.length() + 2);
                        quotedString.append('\'');
                        quotedString.append(x);
                        quotedString.append('\'');

                        ...
                    } else {
                        ...
                }

                String parameterAsString = x;
                boolean needsQuoted = true;
                // 如果需要轉義,則做轉義處理
                if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
                ...

從上面加紅色註釋的可以明白為什麼引數會被單引號包裹,並且類似單引號之類的特殊字元會被轉義處理,就是因為這些程式碼的控制避免了SQL注入。

這裡只對SQL注入相關的程式碼進行解讀,有什麼其它的看法,歡迎大家留下評論!

參考:https://stackoverflow.com/questions/30587736/what-is-pre-compiled-sql-statement

相關推薦

JDBC:使用PreparedStatement防止SQL注入

   1.關於SQL注入 什麼是SQL注入: 由於jdbc程式在執行的過程中sql語句在拼裝時使用了由頁面傳入引數,如果使用者惡意傳入一些sql中的特殊關鍵字,會導致sql語句意義發生變化,這種攻擊方式就叫做sql注入,參考使用者註冊登入案例。   首先看一下以下程式碼:

以mysql為例介紹PreparedStatement防止sql注入原理

最近,在寫程式時開始注意到sql注入的問題,由於以前寫程式碼時不是很注意,有一些sql會存在被注入的風險,那麼防止sql注入的原理是什麼呢?我們首先通過PrepareStatement這個類來學習一下吧! 作為一個IT業內人士只要接觸過資料庫的人都應該知道sq

PreparedStatement防止sql注入原理

PreparedStatement類是java的一個類,準確說是jdbc規範中的一個介面,各個資料庫產商的實現不同(即實現類不同),今天我們就以mysql資料庫來說,我已經下載了mysql資料庫的驅動jar包和驅動程式的原始碼. sql注入的時候,比如,有些使用者就會在介面

sql注入攻擊和PreparedStatement有效防止sql注入攻擊

【1】sql注入攻擊: /** * SQL 注入. */ @Test public void testSQLInjection() { String username = "a' OR PASSWORD = "; String password = " OR '1'='1

PreparedStatement是如何防止SQL注入的?

為什麼在Java中PreparedStatement能夠有效防止SQL注入?這可能是每個Java程式設計師思考過的問題。 首先我們來看下直觀的現象(注:需要提前開啟mysql的SQL文列印) 1. 不使用PreparedStatement的set方法設定引數(效果跟Statement相似,相當於執行靜

JDBC學習之路(三)防止SQL注入PreparedStatement探索

   現在登入註冊或者其他很多地方遇到使用者輸入的內容可以直接拿到資料庫內部去進行執行SQL語句,這個是一項很危險的運動,因為你不知道使用者會輸入什麼,如果使用者對SQL語句很熟悉,他就可以在輸入的時候加上''兩個冒號作為特殊字元,這樣的話會讓計算機認為他輸入的是SQL語句

資料庫連線中使用PreparedStatement預編譯防止SQL注入

//使用預編譯不需要對SQL語句進行拼接,而是使用?佔位符,因此可以防止SQL注入,提升了安全性。 1.提高程式碼可讀性和可維護性 2.提高sql語句執行效能 3.提高安全性 PreparedS

nodejs中查詢mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace inst

Mybatis防止sql注入原理

     SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自]  SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR

iBatis解決自動防止sql注入

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

MySQL— pymysql模組(防止sql注入),視覺化軟體Navicat

一.Pymysql import pymysql #python2.X 中是 mysqldb 和 pythonmysql 用法是一模一樣的 #pymysql可以偽裝成上面這兩個模組 user = input('username: ') pwd = input('passwo

sql注入防止sql注入

資料庫中的資料 sql程式碼 package com.zjw.jdbc2; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.

為什麼說Mysql預處理可以防止SQL注入

簡單點理解:prepareStatement會形成引數化的查詢,例如:1select * from A where tablename.id = ?傳入引數'1;select * from B'如果不經過prepareStatement,會形成下面語句:1select * from A where table

Android五種資料儲存方式之SQLite資料庫儲存 載入SD卡資料庫 sql操作 事務 防止SQL注入

資料庫 前言 資料庫儲存 資料庫建立 內建儲存資料庫 外接儲存資料庫 編寫DAO 插入操作 更新操作 刪除操作 查詢操作

MyBatis 排序防止sql注入

MyBatis的排序 引言     最近在專案開發中遇到一個問題,專案中使用的的MyBatis的排序功能被安全部門掃描出了SQL注入安全隱患,檢視安全報告說是有一個介面中存在SQL注入的安全漏洞,檢查後發現是因為該介面中的排序功能使用了的MyBatis中的$ {}。

SQL注入 web開發中防止SQL注入

web開發中防止SQL注入   一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師編寫時的疏忽,通過SQL語句,實現無賬號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路 1.尋找到SQL

如何在PHP中防止SQL注入

  1: 使用PDO物件(對於任何資料庫驅動都好用)2: addslashes用於單位元組字串的處理,3: 多位元組字元用mysql_real_escape_string吧。 另外對於php手冊中get_magic_quotes_gpc的舉例: if (!get_magic_quote

Mybatis 是如何防止SQL注入的?

面試中經常會問到: Mybatis 是如何防止注入的?  首先:SQL是怎樣的注入攻擊的? String sql = String.Format( "SELECT * FROM tablename WHERE username='{0}'", username); &n

sql注入防止SQL注入之引數化處理

sql注入的兩種情況: 操作程式碼: import pymysql user = input('使用者名稱: ').strip() pwd = input('密碼: ').strip() # 連結 conn = pymysql.connect(host='localhost', user='ro

在使用PreparedStatement防止SQL注入時,順帶輸出完整的SQL語句

本文轉載於:https://www.cnblogs.com/aipan/p/7237854.html 但有修改和補充 原因: PreparedStatement介面沒有提供什麼方法可以直接輸出封裝好的sql語句,所以在這找了一個比較實用的類,自己寫,一次寫成,終身受益。具體程式碼如下。