使用jdbc拼接条件查询语句时如何防止sql注入

最新推荐文章于 2024-09-22 16:16:41 发布
原创 最新推荐文章于 2024-09-22 16:16:41 发布 · 2.5k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jdbc #条件查询 #sql注入

本文通过对比Statement和PreparedStatement,展示了如何在拼接SQL查询条件时防止SQL注入攻击。使用PreparedStatement结合参数列表,可以动态设置查询参数,增强代码安全性。

本人微信公众号,欢迎扫码关注!

使用jdbc拼接条件查询语句时如何防止sql注入

  • 最近公司的项目在上线时需要进行安全扫描,但是有几个项目中含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接的SQL语句,真是令人抓狂。
  • 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思路请参考下面的示例代码。

1 数据库示例数据

2 使用statement(不防止SQL注入)

2.1 示例代码
@Test
public void statementTest() {
    String username = "tom";
    String sex = "1";
    String address = "' or '1'='1";
    Statement stat = null;
    ResultSet res = null;

    Connection conn = ConnectionFactory.getConnection();
    String sql = "SELECT * FROM user WHERE 1 = 1";

    sql += username == null ? "" : " AND username = '" + username + "'";
    sql += sex == null ? "" : " AND sex = '" + sex + "'";
    sql += address == null ? "" : " AND address = '" + address + "'";

    System.out.println(sql);

    try {
        stat = conn.createStatement();
        res = stat.executeQuery(sql);
        printRes(res);
    } catch (SQLException e) {
        e.printStackTrace();
    } finally {
        ResourceClose.close(res, stat, conn);
    }
}
2.2 控制台结果
SELECT * FROM user WHERE 1 = 1 AND username = 'tom' AND sex = '1' AND address = '' or '1'='1'
10 tom 2014-07-10 1 beijing 
16 tom 2018-07-31 1 shanghai 
22 tom 2019-04-16 2 shanghai 
24 tom 2019-06-22 1 guangzhou 
25 tom 2019-01-22 2 guangzhou 
28 tom 2018-07-31 1 shenzhen
2.3 小结
  • 经过上面的示例代码我们可以发现,单纯拼接SQL语句是非常危险的,特别容易被SQL注入,但是如果使用prepareStatement的话,像这种条件查询我们预先并不能确定到底有多少个?(占位符),也就不能使用按照?(占位符)索引去设置参数了,那怎么办呢?
  • 别担心,此时我们使用一个小小的技巧,具体参考下面的示例代码

3 使用prepareStatement(可以防止SQL注入)

3.1 示例代码
@Test
public void prepareStatementTest() {
    String username = "tom";
    String sex = null;
    String address = "' or '1'='1";
    PreparedStatement stat = null;
    ResultSet res = null;

    Connection conn = ConnectionFactory.getConnection();
    String sql = "SELECT * FROM user WHERE 1 = 1";

    List<Object> param = new ArrayList<>();

    if (username != null) {
        sql += " AND username = ?";
        param.add(username);
    }
    if (sex != null) {
        sql += " AND sex = ?";
        param.add(sex);
    }
    if (address != null) {
        sql += " AND address = ?";
        param.add(address);
    }
    System.out.println(sql);

    try {
        stat = conn.prepareStatement(sql);
        for (int i = 0; i < param.size(); i++) {
            stat.setObject(i+1,param.get(i));
        }
        res = stat.executeQuery();
        printRes(res);
    } catch (SQLException e) {
        e.printStackTrace();
    } finally {
        ResourceClose.close(res, stat, conn);
    }
}
3.2 控制台结果
SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?
3.3 小结
  • 可以看出,使用prepareStatement是可以防止SQL注入的。
  • 但进行类似条件拼接这种操作时,可以先把参数放入一个集合中,然后遍历集合,同时利用setObject(index,obj)这个方法就可以动态的获取参数的索引了,而且不用关心参数是何种类型。

4 问题总结

  • 如今在进行项目开发时已经很少使用原生的jdbc了,大多数都用功能强大的框架去完成,他们帮我们简化了很多操作,如获取数据库连接、封装结果集、SQL预编译(可以防止SQL注入)
  • 如果实在避免不了使用的话一定要使用可以需编译的prepareStatement对象,避免被SQL注入带来的风险。
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 477
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
JDBC使用Statement操作数据库产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 676
SQL注入问题简单介绍 1.JDBC使用Stement对数据库增删改查, 执行sql语句使用拼接字符串会导致SQL注入 2.JDBC使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。 建表语句(本人使用的数据库是mysql数据库) create datebase basketball; use basketball; create table l
jdbc拼接条件查询语句如何防止sql注入?
qq_42796740的博客
07-13 357
可以使用**PreparedStatement**,PreparedStatement继承Statement,性能上要优于Statement。 原因 PreparedStatement采用预编译机制将SQL语句中的主干和参数分别传给数据库服务器,从而使数据库分辨出哪些是SQL语句的主干,哪些是参数,从而有效防止SQL注入PreparedStatement优点 1、可以防止SQL注入 2、采用...
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1293
转载请注明出处:http://blog.youkuaiyun.com/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
JdbcTemplate的query方法防治sql注入
ai932820942的博客
05-19 2773
直接上代码 StringBuffer sql = new StringBuffer("select * from A t where t.id= ?"); PreparedStatementSetter statementSetter = new PreparedStatementSetter() { @Override public void setValues(PreparedStatement preparedStatement) throws SQLException
spring jdbc条件查询(参数化传参,防止sql注入风险)
热门推荐
F & Q的专栏
01-25 1万+
public List getAllOperator(int toPage, int pageSize, String login, String name, String oper_group_id, int state) { String sql = "select p.id, p.login,p.password,p.name,p.email,
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5769
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
精选资源
动态拼接sql语句工具类,拼接where后面语句
05-25
动态拼接sql语句工具类,拼接where后面语句 配合原生jdbc仿动态sql注入 if (ObjectUtil.isNotEmpty(maxLat)&&ObjectUtil.isNotEmpty(minLat)){ sqlParamList.add(new SqlParam("lat",minLat, SqlOpEnum.GE)); ...
Mybatis防止sql注入的实例
08-30
Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种方式可能不太适合平开发中...
jdbc sql 参数防止sql注入_如何防止sql注入?介绍5种防止sql注入的方法
weixin_36038435的博客
02-03 1164
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
如何防止sql注入
weixin_41770160的博客
06-20 188
sql注入
正则校验windows和linux路径
weixin_43173924的博客
09-07 1091
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
如何拼接SQL语句,以及如何防止SQL注入攻击
qq_40922845的博客
01-20 8041
在书写SQL语句(或者其他语句)的过程中,有需要将形参放入准备好的SQL变量中,就需要对语句进行拼接拼接方法如下,字符串需要整个用双引号包裹,形参需要暴漏在双引号外面,字符串跟形参之间用加号连接。下面对这个SQL语句进行分组分析: 正常的语句应该是这样:select * from test(表名) where uname="username" and upassword="password";...
HQL查询语句拼接规范,避免SQL注入攻击
施勇
07-26 7948
软件开发过程中不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发中避免SQL注入攻击。SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数
怎么防止SQL注入
。。。。
03-21 7718
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
如何防止SQL注入
weixin_61898502的博客
09-22 1055
用户输入的数据中有SQL关键词,导致在执行SQL语句出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
2020-10-10
不二的博客
10-10 1061
一:什么是sql注入   SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二:SQL注入攻击的总体思路    1:寻找到SQL注入的位置   2:判断服务器类型和后台数据库类型   3:针对不同的服务器和数据库特点进行SQL注入攻击 三:SQL注入攻击实例 String sql = "select * from user_table where username= ' "+us..
JDBC连接数据库(预防SQL注入
m0_51791413的博客
07-21 293
SQL注入是通过操作输入来修改事先定义好的SQL语句,用以达到执行代码对服务器进行攻击的方法。
如何防止 SQL 注入?特别是在动态拼接 WHERE 条件
最新发布
10-11
防止 SQL 注入是数据库安全的核心问题,尤其是在动态拼接 SQL 条件(如 `WHERE name = '...'`)。如果直接将用户输入拼接SQL 语句中,攻击者可以构造恶意输入来篡改查询逻辑,甚至删除数据、获取敏感信息。 --- ### ✅ 正确的防御方式:使用 **参数化查询(Prepared Statements)** 参数化查询不会将用户输入作为 SQL 代码的一部分执行,而是将其作为“数据”传递给预编译的 SQL 模板,从而彻底阻断 SQL 注入的可能性。 --- ### 🔧 示例:使用 Python + `mysql-connector-python` 防止 SQL 注入 ```python import mysql.connector # 连接数据库 conn = mysql.connector.connect( host='localhost', user='your_username', password='your_password', database='your_database' ) cursor = conn.cursor() # ❌ 危险!不要这样做(字符串拼接) name = input("请输入员工姓名: ") # 危险操作:容易被注入,例如输入 ' OR 1=1 -- query_bad = f"SELECT * FROM employee WHERE name = '{name}'" # cursor.execute(query_bad) # 绝对禁止! # ✅ 安全做法:使用参数化查询 query_good = "SELECT * FROM employee WHERE name = %s" cursor.execute(query_good, (name,)) # 获取结果 results = cursor.fetchall() for row in results: print(row) # 关闭连接 cursor.close() conn.close() ``` **解释:** - `%s` 是占位符(不是字符串格式化),由驱动程序负责安全转义。 - `(name,)` 是参数元组,即使包含特殊字符(如 `'` 或 `;`),也会被视为普通数据,不会改变 SQL 结构。 - 使用 `cursor.execute(query, params)` 而非字符串拼接。 --- ### 🛡️ 其他语言中的参数化查询示例 #### ✅ Java (JDBC) ```java String name = "John Doe"; String sql = "SELECT * FROM employee WHERE name = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, name); ResultSet rs = pstmt.executeQuery(); ``` #### ✅ PHP (PDO) ```php $name = $_GET['name']; $stmt = $pdo->prepare("SELECT * FROM employee WHERE name = ?"); $stmt->execute([$name]); $results = $stmt->fetchAll(); ``` #### ✅ Node.js (使用 mysql2) ```javascript const [rows] = await connection.execute( 'SELECT * FROM employee WHERE name = ?', [name] ); ``` --- ### 🚫 常见错误:看似“转义”实则仍危险 有些人尝试手动转义引号,比如: ```python name = name.replace("'", "\\'") ``` 这是 **不可靠的**,因为: - 不同数据库的转义规则不同。 - 字符编码问题可能导致绕过。 - 复杂场景下极易遗漏。 ✅ 唯一可靠的方法是:**永远使用参数化查询**。 --- ### 📌 特别注意:以下操作无法用参数化?怎么办? | 场景 | 是否可用参数化 | 解决方案 | |------|----------------|----------| | `WHERE name = ?` | ✅ 可以 | 直接使用参数 | | `ORDER BY ?` | ❌ 不行(列名不能参数化) | 白名单校验 | | `LIMIT ?, ?` | ✅ 可以(数值参数) | 使用整数参数 | | `TABLE_NAME` 动态表名 | ❌ 不行 | 白名单 + 正则匹配 | #### 示例:安全处理动态排序字段 ```python allowed_columns = {'name', 'department', 'salary'} order_by = request.get('order_by') if order_by not in allowed_columns: raise ValueError("Invalid column") query = f"SELECT * FROM employee ORDER BY {order_by}" cursor.execute(query) ``` > 注意:这里使用了字符串拼接,但前提是 `order_by` 来自白名单,确保无害。 --- ### 🔐 额外安全建议 1. **最小权限原则**:数据库用户只赋予必要权限(如不用 root 账号运行应用)。 2. **输入验证**:对长度、类型、格式进行校验(如姓名不能含特殊符号)。 3. **日志审计**:记录敏感操作,便于追踪异常行为。 4. **使用 ORM 框架**(如 SQLAlchemy、Django ORM):它们默认使用参数化查询,减少手写 SQL 错误。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值