码迷,mamicode.com
首页 > 数据库 > 详细

[Js-JDBC]SQL注入及解决,Statement与PreparedStatement

时间:2018-03-09 01:34:01      阅读:219      评论:0      收藏:0      [点我收藏+]

标签:方式   框架   作用   class   bsp   原因   安全   条件   需要   

SQL注入的含义

用户在输入信息中有SQL关键字并且参与SQL语句的编译,导致SQL语句含义扭曲,这种现象被称为SQL注入

例如:

1 // 在登录验证的时候使用如下语句
2 String sql = 
"select * from tb_user where username = ‘"+username+"‘ and userpwd = ‘+pwd+‘";

 

而用户在密码处输入:asd‘ or ‘a‘=‘a

则会导致

select * from tb_user where username = ‘admin‘ and userpwd = ‘asd‘ or ‘a‘=‘a‘;

显而易见以上SQL语句条件永远为真

根本原因:先拼接SQL语句字符串,然后再进行比那一,这个时候用户提供的信息中含有SQL关键字,并参与了这次编译,扭曲了原意

如何防止SQL注入

先定义SQL语句框架,对SQl语句进行预先编译,只编译一次,然后再去接收用户提供的信息,用户提供的信息中即使含有SQL语句的关键字,这些关键字不参与这次SQL语句的编译,从而起不到作用,采用这种方式可以解决SQL注入问题

使用 PreparedStatement 代替 Statement 预编译SQL语句,然后再传入参数

注意:

有的系统是需要SQL注入的,比如 select * from where,这就需要使用 Statement

有的系统是要防止SQL注入的,比如登录系统,所以使用 PreparedStatement 

PreparedStatement 与 Statement 对比

  1. PreparedStatement 防止 SQL 注入 ,执行效率高
  2. SQL 语句对于 Statement 来说是:编译一次执行一次;SQL 语句对于 PreparedStatement 是编译一次执行 N 次
  3. PreparedStatement 是类型安全的,编译期检查传入参数类型

注意:

使用 PreparedStatement 时 SQL 语句中的”?“不能写在单引号中,否则无法识别,如下的句子是错误的

1 String sql = "select ename from emp where ename like ‘%?%‘";
2 PreparedStatement ps = conn.prepareStatement(sql);
3 ps.setString(1, "0");

 

正确的应该为:

1 String sql = "select ename from emp where ename like ?";
2 PreparedStatement ps = conn.prepareStatement(sql);
3 ps.setString(1, "%0%");

 

 

则会导致

[Js-JDBC]SQL注入及解决,Statement与PreparedStatement

标签:方式   框架   作用   class   bsp   原因   安全   条件   需要   

原文地址:https://www.cnblogs.com/jiasq/p/8531709.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!