以mysql為例介紹PreparedStatement防止sql注入原理
最近,在寫程式時開始注意到sql注入的問題,由於以前寫程式碼時不是很注意,有一些sql會存在被注入的風險,那麼防止sql注入的原理是什麼呢?我們首先通過PrepareStatement這個類來學習一下吧!
作為一個IT業內人士只要接觸過資料庫的人都應該知道sql注入的概念及危害,那麼什麼叫sql注入呢?我在這邊先給它來一個簡單的定義:sql注入,簡單來說就是使用者在前端web頁面輸入惡意的sql語句用來欺騙後端伺服器去執行惡意的sql程式碼,從而導致資料庫資料洩露或者遭受攻擊。
那麼,當我們在使用資料庫時,如何去防止sql注入的發生呢?我們自然而然地就會想到在用JDBC進行連線時使用PreparedStatement類去代替Statement,或者傳入的條件引數完全不使用String字串,同樣地,在用mybatis時,則儘量使用#{param}佔位符的方式去避免sql注入,其實jdbc和mybatis的原理是一致的。我們都知道當我們使用PreparedStatement去寫sql語句時,程式會對該條sql首先進行預編譯,然後會將傳入的字串引數以字串的形式去處理,即會在引數的兩邊自動加上單引號(’param’),而Statement則是直接簡單粗暴地通過人工的字串拼接的方式去寫sql,那這樣就很容易被sql注入。
那麼,如果PreparedStatement只是僅僅簡單地通過把字串引數兩邊加上引號的方式去處理,一樣也很容易被sql注入,顯然它並沒有那麼傻。比如說有如下一張表:
create table user
(
id int4 PRIMARY KEY,
name VARCHAR(50) not null,
class VARCHAR(50)
)裡面有如下幾條資料:
INSERT INTO `user` VALUES ('1', '張三', '1班');
INSERT INTO `user` VALUES ('2', '李四', '2班');
INSERT INTO `user` VALUES ('3', '王五', '3班');
INSERT INTO `user` VALUES ('4', '趙六', '4班');這裡我們使用mybatis的 {param} 和 #{param} 兩個不同的佔位符來作為示例解釋 Statement 和 PreparedStatement (mybatis和jdbc的低層原理是一樣的)。首先
<mapper namespace="com.sky.dao.UserMapper">
<select id="query" parameterType="com.sky.model.User" resultType="com.sky.model.User">
select * from user where name = '${name}'
</select>
</mapper> 同時,給出前端頁面的簡略的程式碼:
<form action="<%=basePath%>query" method="get">
<input type="input" placeholder="請輸入姓名" name="name"/><input type="submit" value="查詢"/>
</form>前端頁面通過form表單的形式輸入查詢條件並呼叫後端sql。顯然對於上面這條sql語句,正常的操作應該是在前端頁面輸入一個名字,並查詢結果,如:傳入引數為:張三,則對應sql為:select * from user where name = ‘張三’;那麼,其結果就是:id=1;name=’張三’;classname=’1班’;但是,如果其傳入引數為:張三’ or 1=’1;則傳到後臺之後其對應的sql就變為:select * from user where name = ‘張三’ or 1=’1’;那麼,其輸出的結果就是表中所有的資料。
那麼,如果我們我們將mybatis中的sql語句改為:select * from user where name = #{name} 之後又會怎樣呢?如果傳入的引數為:張三,則結果很顯然跟上面第一次的是一樣的,那如果將傳入引數變為:張三’ or 1=’1 又會怎樣呢?實踐證明,查詢結果為空,很顯然它並不僅僅是給字串兩端加了單引號那麼簡單,否則我作為一個新手都隨便就想得到的問題,那麼多高智商的IT人士又怎會發現不了呢。那麼它的原理又是什麼呢?我帶著這個問題去尋找答案,很顯然,尋找答案的最好方式就是去看原始碼。於是,我找到了mysql-jdbc連線的原始碼,查看了PreparedStatement類的原始碼,其中setString()方法的原始碼如下:
/**
* Set a parameter to a Java String value. The driver converts this to a SQL
* VARCHAR or LONGVARCHAR value (depending on the arguments size relative to
* the driver's limits on VARCHARs) when it sends it to the database.
*
* @param parameterIndex
* the first parameter is 1...
* @param x
* the parameter value
*
* @exception SQLException
* if a database access error occurs
*/
public void setString(int parameterIndex, String x) throws SQLException {
synchronized (checkClosed().getConnectionMutex()) {
// if the passed string is null, then set this column to null
if (x == null) {
setNull(parameterIndex, Types.CHAR);
} else {
checkClosed();
int stringLength = x.length();
if (this.connection.isNoBackslashEscapesSet()) {
// Scan for any nasty chars
boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
if (!needsHexEscape) {
byte[] parameterAsBytes = null;
StringBuilder quotedString = new StringBuilder(x.length() + 2);
quotedString.append('\'');
quotedString.append(x);
quotedString.append('\'');
if (!this.isLoadDataQuery) {
parameterAsBytes = StringUtils.getBytes(quotedString.toString(), this.charConverter, this.charEncoding,
this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), getExceptionInterceptor());
} else {
// Send with platform character encoding
parameterAsBytes = StringUtils.getBytes(quotedString.toString());
}
setInternal(parameterIndex, parameterAsBytes);
} else {
byte[] parameterAsBytes = null;
if (!this.isLoadDataQuery) {
parameterAsBytes = StringUtils.getBytes(x, this.charConverter, this.charEncoding, this.connection.getServerCharset(),
this.connection.parserKnowsUnicode(), getExceptionInterceptor());
} else {
// Send with platform character encoding
parameterAsBytes = StringUtils.getBytes(x);
}
setBytes(parameterIndex, parameterAsBytes);
}
return;
}
String parameterAsString = x;
boolean needsQuoted = true;
if (this.isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
needsQuoted = false; // saves an allocation later
StringBuilder buf = new StringBuilder((int) (x.length() * 1.1));
buf.append('\'');
//
// Note: buf.append(char) is _faster_ than appending in blocks, because the block append requires a System.arraycopy().... go figure...
//
for (int i = 0; i < stringLength; ++i) {
char c = x.charAt(i);
switch (c) {
case 0: /* Must be escaped for 'mysql' */
buf.append('\\');
buf.append('0');
break;
case '\n': /* Must be escaped for logs */
buf.append('\\');
buf.append('n');
break;
case '\r':
buf.append('\\');
buf.append('r');
break;
case '\\':
buf.append('\\');
buf.append('\\');
break;
case '\'':
buf.append('\\');
buf.append('\'');
break;
case '"': /* Better safe than sorry */
if (this.usingAnsiMode) {
buf.append('\\');
}
buf.append('"');
break;
case '\032': /* This gives problems on Win32 */
buf.append('\\');
buf.append('Z');
break;
case '\u00a5':
case '\u20a9':
// escape characters interpreted as backslash by mysql
if (this.charsetEncoder != null) {
CharBuffer cbuf = CharBuffer.allocate(1);
ByteBuffer bbuf = ByteBuffer.allocate(1);
cbuf.put(c);
cbuf.position(0);
this.charsetEncoder.encode(cbuf, bbuf, true);
if (bbuf.get(0) == '\\') {
buf.append('\\');
}
}
buf.append(c);
break;
default:
buf.append(c);
}
}
buf.append('\'');
parameterAsString = buf.toString();
}
byte[] parameterAsBytes = null;
if (!this.isLoadDataQuery) {
if (needsQuoted) {
parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', this.charConverter, this.charEncoding,
this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), getExceptionInterceptor());
} else {
parameterAsBytes = StringUtils.getBytes(parameterAsString, this.charConverter, this.charEncoding, this.connection.getServerCharset(),
this.connection.parserKnowsUnicode(), getExceptionInterceptor());
}
} else {
// Send with platform character encoding
parameterAsBytes = StringUtils.getBytes(parameterAsString);
}
setInternal(parameterIndex, parameterAsBytes);
this.parameterTypes[parameterIndex - 1 + getParameterIndexOffset()] = Types.VARCHAR;
}
}
}這段程式碼的作用是將java中的String字串引數傳到sql語句中,並通過驅動將其轉換成sql語句併到資料庫中執行。這段程式碼中前面一部分做了一些是否需要對字串進行轉義的判斷,這裡不展開講。後面一部分則是如何有效防止sql注入的重點,程式碼中通過一個for迴圈,將字串引數通過提取每一位上的char字元進行遍歷,並通過switch()….case 條件語句進行判斷,當出現換行符、引號、斜槓等特殊字元時,對這些特殊字元進行轉義。那麼,此時問題的答案就出來了,當我們使用PreparedStatement進行傳參時,若傳入引數為:張三’ or 1 = ‘1 時,經過程式後臺進行轉義後,真正的sql其實變成了: select * from user where name = ‘張三\’ or 1 = \’1’;顯然這樣查詢出來的結果一定為空。
以上,就是目前我對於防止sql注入的一些理解,由於入行不深,對於一些問題的理解還不夠透徹,希望有錯誤的地方,請各位大神見諒,並跪求指正,謝謝!
相關推薦
以mysql為例介紹PreparedStatement防止sql注入原理
最近,在寫程式時開始注意到sql注入的問題,由於以前寫程式碼時不是很注意,有一些sql會存在被注入的風險,那麼防止sql注入的原理是什麼呢?我們首先通過PrepareStatement這個類來學習一下吧! 作為一個IT業內人士只要接觸過資料庫的人都應該知道sq
PreparedStatement防止sql注入原理
PreparedStatement類是java的一個類,準確說是jdbc規範中的一個介面,各個資料庫產商的實現不同(即實現類不同),今天我們就以mysql資料庫來說,我已經下載了mysql資料庫的驅動jar包和驅動程式的原始碼. sql注入的時候,比如,有些使用者就會在介面
SQL語句優化 -- 以Mysql為例
也不會 無法使用 order url all body 條件查詢 參與 優化 本文參考下面的文章: 1: 【真·幹貨】MySQL 索引及優化實戰 2: Mysql語句的執行過程 3: sql優化的幾種方法 我將 sql語句優化分為三個方面,(此處不包括 業
通過JDBC進行簡單的增刪改查(以MySQL為例)
mage ron end main exce javax xtend 探索 rman 通過JDBC進行簡單的增刪改查(以MySQL為例) 目錄 前言:什麽是JDBC 一、準備工作(一):MySQL安裝配置和基礎學習 二、準備工作(二):下載數據庫對應的jar包並
通過JDBC進行簡單的增刪改查(以MySQL為例)(轉載)
IE trac archive solver ttl 賦值 TP 定義 for 轉載:https://www.cnblogs.com/wuyuegb2312/p/3872607.html 目錄 前言:什麽是JDBC 一、準備工作(一):MySQL安裝配置和基礎學習 二、準備
[4]supervisor使用管理:實現對異常中斷子進程的自動重啟(以mysql為例)
grep -v rem iad apple mysq round true com 子進程 實現進程服務管理,supervisort監聽到進程死後,會自動將它重新拉起,很方便的做到進程自動恢復的功能,不再需要自己寫shell腳本來控制安裝過程1、到官網下載最新版本,解壓編譯
JDBC呼叫儲存過程(以MySQL為例)
-- drop procedure test_proc; DELIMITER // CREATE PROCEDURE test_proc(out p_out int, inout p_inout int, in p_in int) BEGIN set p_out=200000002
mac設定brew安裝的服務開機自啟動(以mysql為例)
mac brew 安裝的mysql開機自啟動 1、用brew安裝的可以通過以下語句檢視安裝目錄: brew –prefix mysql 2、從你MySQL的安裝目錄下找到homebrew.mxcl.mysql.plist這個檔案,然後複製到~/Library/
使用JDBC一次插入多條記錄(以MySQL為例)
閱讀本文需要的先修知識: 最基本的SQL語句 最基本的JDBC操作(如插入單條記錄) 如急需使用請直接看最後一段程式碼。 在JDBC中,插入記錄最簡單的方法是使用executeUpdate()方法,但該方法中的引數只能是單條SQL語句,其實對於需要INSERT或者UPDA
JDBC連線資料庫(以mysql為例)
步驟: 1、在專案裡面配置驅動(右擊專案->built path->configure built path->libraries->add External JARs...),新增資料庫的驅動jar包(本例mysql驅動包v5.0.8)網上下載驅動
kaggle資料探勘——以Titanic為例介紹處理資料大致步驟
Titanic是kaggle上的一道just for fun的題,沒有獎金,但是資料整潔,拿來練手最好不過。 本文以 Titanic 的資料,使用較為簡單的決策樹,介紹處理資料大致過程、步驟 注意,本文的目的,在於幫助你入門資料探勘,熟悉處理資料步驟、流程
資料庫查詢語句詳細例項解析(以mysql為例)
MySQL查詢語句 最近做實驗時寫到了有關查詢語句的詳細使用案例。藉此案例記錄一下包括關聯查詢,子查詢,巢狀查詢在內的查詢語句的用法。 本案例涉及的表如下: student: studnet表儲存了學生的基本資訊,其中各欄位含義如下: Sno:學生學號 Sname:學生姓名 Ssex
QT-資料庫操作(以MYSQL為例)
一、載入sql驅動 修改專案檔案pro,新增 QT += sql 包含標頭檔案 #include<QtSql> 載入資料庫驅動 QSqlDatabase db = QSqlDat
JDBC連線資料庫步驟(以mysql為例)
也是剛學的Java,第一次學著別人發帖子,發這個帖子的目的只為了記錄我的學習成果,如果能幫到人最後,有錯誤請多指教 //1.註冊驅動 DriverManager.registerDriver(new com.mysql.jdbc.Driver());
java通過配置檔案載入資料庫(以Mysql為例)
專案結構如圖示 jdbc.properties內容為: jdbc.username=root jdbc.password=root jdbc.driver=com.mysql.jdbc.Driver jdbc.url=jdbc:mysql://localhost:3306
spring boot資料庫操作(以mysql為例)
新增資料庫支援 在maven中新增元件(pom.xml) <dependency> <groupId>org.springframework.boot</groupId>
事務(以MySQL為例)
事務指邏輯上對資料庫的一組操作,事務有以下四大特性: 1.原子性:事務的一組操作捆綁在一起,要麼全都執行,要麼都不執行 2.一致性:事務的完成使資料庫從一致性狀態轉到一致性狀態,一致性也就是指資料的正確性或者穩定的一種狀態,例如A給B轉賬的操作中,A的餘額減
應用開發實踐之關係型資料庫(以MySql為例)小結
本文主要是對目前工作中使用到的DB相關知識點的總結,應用開發瞭解到以下深度基本足以應對日常需求,再深入下去更偏向於DB本身的理論、調優和運維實踐。 不在本文重點關注討論的內容(可能會提到一些): * 具體的DQL、DML、DDL、DCL等語法 * 基礎性的概念,如主鍵、索引、儲存過程(注:阿里巴巴規範中禁止使
JDBC:使用PreparedStatement防止SQL注入
1.關於SQL注入 什麼是SQL注入: 由於jdbc程式在執行的過程中sql語句在拼裝時使用了由頁面傳入引數,如果使用者惡意傳入一些sql中的特殊關鍵字,會導致sql語句意義發生變化,這種攻擊方式就叫做sql注入,參考使用者註冊登入案例。 首先看一下以下程式碼:
Mybatis防止sql注入原理
SQL 注入是一種程式碼注入技術,用於攻擊資料驅動的應用,惡意的SQL 語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自] SQL注入 - 維基百科SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在介面的表單資訊或UR