【spring】jdbcTemplate之sql参数注入

最新推荐文章于 2025-05-29 15:07:24 发布
最新推荐文章于 2025-05-29 15:07:24 发布
阅读量760 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java 数据库 json
原文链接:http://www.cnblogs.com/VergiLyn/p/6161081.html
本文介绍了Spring的JdbcTemplate在处理SQL参数时的三种方式:数组、Map和JavaBean形式,并讨论了它们的优缺点。重点探讨了防止SQL注入的重要性,通过示例说明了SQL注入的危险性,并分享了测试结果,指出尽管在某些情况下数据库驱动可能会阻止注入攻击,但了解和防范SQL注入仍然至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

demo

 
 
 

  

  

  

 
 
 
一、数组形式的参数
 
 
  优点: 针对简单sql,可以节约部分内存空间。减少代码量、易读。
 
 
  缺点:
 
 
    1、相同的参数不可以复用,让array占用更多的空间。(当然,以现在的硬件来说,这点空间/内存、多余添加数组值花费的时间 完全微不足道)
 
 
    2、如果是in的参数,要动态拼接(?)占位符。(个人认为最麻烦、繁琐的,扩展:oracle对in最大支持1000)
 
 
    3、如果sql中参数过多,其实不好阅读修改。
 
 

  

 
 
 
个人习惯用List添加参数,然后再把List转换成Array。
 
 
好处是:如果用数组,当sql存在动态条件,那么无法确定数组长度。而用List就不需要自己去维护。
 
 
 
 
 
二、map形式的参数
 
 
  优点:
 
 
    1、解决了in参数的问题。
 
 
    2、参数值可以复用。
 
 

  

 
 
 
可以看出对in的参数形式支持很友好,查询条件也可以复用。但我遇到一个问题是:参数是in,在map不能用数组形式,用List是可以的。
 
 
特别:NamedParameterJdbcTemplate与jdbcTemplate没有任何的继承/实现关系(Named可以通过DataSource、JdbcTemplate来生成)。所以再写公共的父类dao时,要想一下怎么写。
 
 
三、javaBean形式的参数
 
 

  

 
 
 
简单浏览了下源码,感觉就是利用反射找到属性名。然后处理和map形式的一样。
 
 
此形式相对map来说,只在于是用Map还是JavaBean。
 
 
表面上的区别就是:如果参数是通过JavaBean传到dao层,那么不用把bean转换成map。相对的如果是通过map传到dao层的,也用map形式也无需转换成javaBean。
 
 
四、什么是防止sql注入?(个人很简单的理解)
 
 
假设sql: select * from child c where c.id = ? ;
 
 
如果在dao层为了贪图方便,或者没有防止sql注入的概念(就是安全性问题)。在dao层的代码:
 
 
  String sql = "select * from child c where c.id='"+id+"'"; 
 
 
假设期望的id都是1,2,3等自增的数字字符串。
 
 
但是,此sql最后可能是任何形式。比如恶意攻击时,最终sql: select * from child c where c.id='100';delete from child; --'
 
 
红色下划线部分就是id的值(--在sql中是注释,把最后一个引号注释掉)。
 
 
那么会删除整个表child的数据,这显然是不安全的。
 
 
 
 
 
 
 
 
我简单测试了下,数据库是oracle。不管是jdbcTemplate、纯jdbc、hibernate都不存在上诉问题(猜想是oracle驱动jar中处理了)。会抛一个异常出来:
 
 

  
java.sql.SQLException: ORA-00911: 无效字符
	at oracle.jdbc.driver.T4CTTIoer.processError(T4CTTIoer.java:439)
	at oracle.jdbc.driver.T4CTTIoer.processError(T4CTTIoer.java:395)
	at oracle.jdbc.driver.T4C8Oall.processError(T4C8Oall.java:802)
	at oracle.jdbc.driver.T4CTTIfun.receive(T4CTTIfun.java:436)
	at oracle.jdbc.driver.T4CTTIfun.doRPC(T4CTTIfun.java:186)
	at oracle.jdbc.driver.T4C8Oall.doOALL(T4C8Oall.java:521)
	at oracle.jdbc.driver.T4CPreparedStatement.doOall8(T4CPreparedStatement.java:205)
	at oracle.jdbc.driver.T4CPreparedStatement.executeForDescribe(T4CPreparedStatement.java:861)
	at oracle.jdbc.driver.OracleStatement.executeMaybeDescribe(OracleStatement.java:1145)
	at oracle.jdbc.driver.OracleStatement.doExecuteWithTimeout(OracleStatement.java:1267)
	at oracle.jdbc.driver.OraclePreparedStatement.executeInternal(OraclePreparedStatement.java:3449)
	at oracle.jdbc.driver.OraclePreparedStatement.executeQuery(OraclePreparedStatement.java:3493)
	at oracle.jdbc.driver.OraclePreparedStatementWrapper.executeQuery(OraclePreparedStatementWrapper.java:1203)
	at com.vergilyn.test.sh.dao.JdbcTemplateDao.injectionAttack(JdbcTemplateDao.java:49)
	at com.lyn.Junit.TestJdbc.testInjectionAttack(TestJdbc.java:35)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:606)
	at org.junit.runners.model.FrameworkMethod$1.runReflectiveCall(FrameworkMethod.java:50)
	at org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable.java:12)
	at org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:47)
	at org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.java:17)

 
 
 
测试代码:
 
 

  
    @Test
    @Rollback(true)
    public void testInjectionAttack(){ //结论
         String id = "1";
        id = "1';delete from child where child_id='1';--";
        jdbcDao.injectionAttack(id);
    }

    @Test
    @Rollback(true)
    public void testSqlInjectionAttack(){ //结论 jdbcTemplate不会存在此问题
         String id = "1";
        id = "1';delete from child where child_id='1';--";
        Child rs = jdbcDao.sqlInjectionAttack(id);
        System.out.println(JSON.toJSONString(rs));
    }

 
 
 

  
public void injectionAttack(String id) {
       Connection con = null;// 创建一个数据库连接
        PreparedStatement pre = null;// 创建预编译语句对象,一般都是用这个而不用Statement
       ResultSet result = null;// 创建一个结果集对象
        try {
            Class.forName("oracle.jdbc.driver.OracleDriver");// 加载Oracle驱动程序
            String url = "jdbc:oracle:thin:@127.0.0.1:1521:orcl";

  
            String user = "vergilyn";

  
            String password = "409839163";

  
            con = DriverManager.getConnection(url, user, password);// 获取连接

            String sql = "select c.child_id childId,c.child_name,c.child_age childAge,c.parent_id parentId from child c";
          sql += " where c.child_id= '"+id+"'";
          pre = con.prepareStatement(sql);// 实例化预编译语句
            result = pre.executeQuery();// 执行查询,注意括号中不需要再加参数
            while (result.next()){
                // 当结果集不为空时
                System.out.println("姓名:" + result.getString("child_Name") );
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            try
            {
                // 逐一将上面的几个对象关闭,因为不关闭的话会影响性能、并且占用资源
                // 注意关闭的顺序,最后使用的最先关闭
                if (result != null) result.close();
                if (pre != null) pre.close();
                if (con != null) con.close();
                System.out.println("数据库连接已关闭!");
            }
            catch (Exception e)
            {
                e.printStackTrace();
            }
        }
    }

    /**
     * 测试sql注入攻击。jdbcTemplate不会存在此安全问题。
     * @param id
     * @return
     */
    public Child sqlInjectionAttack(String id){
        String sql = "select c.child_id childId,c.child_name,c.child_age childAge,c.parent_id parentId from child c";
        sql += " where c.child_id= '"+id+"'";
        return this.jdbcTemplate.queryForObject(sql,new BeanPropertyRowMapper<Child>(Child.class));
    }

 
 
 
正确sql:
 
 
  select c.child_id childId,c.child_name,c.child_age childAge,c.parent_id parentId from child c where c.child_id= '1'
 
 
攻击sql:
 
 
  select c.child_id childId,c.child_name,c.child_age childAge,c.parent_id parentId from child c where c.child_id= '1';delete from child where child_id='1';--'
 
 
针对攻击sql会抛出上面的异常,我把此sql在PL/SQL中是可以运行的。那么,个人猜想是oracle的驱动jar中进行处理了。
 
 
(可以看下如何防止sql注入攻击,网上很多。虽然经过上面的测试,举例的情况在测试时不会出现。但可以详细了解下,还可能在什么情况下出现SQL注入攻击)
 
 
 
  
百度baike: SQL注入攻击

 
 
 
 
 
 
2016-12-22 以上说的: oracle的驱动jar中处理了sql注入攻击是错误的
 
 
【spring】(填坑)sql注入攻击 - 持久层参数化 (验证了错误,并没看懂源代码)


 

转载于:https://www.cnblogs.com/VergiLyn/p/6161081.html

                

        




    

    
  



    



                



	

		

			

				
					
java安全(二):JDBC|sql注入|预编译

				
			

			

				

					weixin_45694388的博客
				

				

					11-14
					
					6440
					
				

			

		

		

			
				
1 JDBC基础
JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。
2 JDBCConnection
2.1连接
Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive

			
		

	



                

            
              



	

		

			

				
					
JDBC-SQL注入攻击问题及解决方案

				
			

			

				

					Fly_Fly_Zhang的博客
				

				

					07-07
					
					815
					
				

			

		

		

			
				
什么是SQL注入:
由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。
SQL注入攻击演示:
首先我们创建一张用户表,里面包含用户名和密码。
mysql> select * from user;
+----------+----------+
...

			
		

	



              


  
              

                


	

		

			

				
					
jdbcTemplate防止注入写法

					
最新发布

				
			

			

				

					qq_44749121的博客
				

				

					05-29
					
					565
					
				

			

		

		

			
				
只要严格使用参数化查询(?参数绑定:通过 PreparedStatement 将参数值与 SQL 语句分离。类型安全:自动处理数据类型转换(如 Date → java.sql.Date)自动转义:JDBC 驱动会自动处理特殊字符(如单引号转义为 ‘’)白名单校验:对于排序字段等必须动态拼接的场景,使用白名单校验。这是最核心的防注入方式,所有动态参数都应该通过参数绑定传递。禁用字符串拼接:永远不要将用户输入直接拼接到 SQL 中。日志监控:启用 SQL 日志,监控异常查询模式。所幸这一期给一个改进写法。

			
		

	





	

		

			

				
					
2020.7.26(2)Spring JDBC里的JDBCTemplate

				
			

			

				

					feimeng4s的博客
				

				

					07-26
					
					341
					
				

			

		

		

			
				
Spring JDBC里的JDBCTemplate
即便已经使用工具类了,但是仍然麻烦,所以学习JDBC简化封装的工具类。Spring框架提供的JDBC简单封装,以后web学习完之后会重点讲,今天大概看看。他提供的JDBCTemplate对象简化JDBC的开发
步骤:
1、导入jar包。
2、创建JDBCTemplate对象。依赖于数据源DataSource
*JdbcTemplate template=new JdbcTemple(ds);
3、调用对象方法来完成CRUD的操作
update():执行增删

			
		

	



		

			
		



	

		

			

				
					
MySQL SQL 注入

				
			

			

				

					weixin_34272308的博客
				

				

					06-12
					
					198
					
				

			

		

		

			
				
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。
本博文将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL注入的字符。
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用...

			
		

	





	

		

			

				
					
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)

				
			

			

				

					12-29
				

			

		

		

			
				
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库...Spring Boot通过提供JdbcTemplateSpring Data JPA等工具,为开发者提供了防止SQL注入的有效手段。

			
		

	





	

		

			

				
					
基于Spring JdbcTemplate和Velocity模板的SQL可配置化、缓存与热部署设计源码

				
			

			

				

					09-29
				

			

		

		

			
				
本项目以Spring框架中的JdbcTemplate组件为基础,利用Velocity模板技术,实现了一套SQL语句的可配置化、缓存机制以及热部署功能的源代码。该方案的核心在于,通过编程接口与Velocity模板的结合,使得SQL语句能够像...

			
		

	





	

		

			

				
					
Spring JdbcTemplate 案例详解教程

				
			

			

				

					zp8126的专栏
				

				

					03-20
					
					1563
					
				

			

		

		

			
				
Spring JdbcTemplateSpring Framework 中用于简化 JDBC 操作的一个轻量级封装工具类。它提供了一系列的方法来执行 SQL 查询、更新、批处理等操作,从而减轻了开发者手动处理 JDBC 的繁琐细节,例如关闭连接、处理异常、清理资源等。Spring提供的数据访问模板,提供了很多方便操作数据库的方法。

			
		

	





	

		

			

				
					
Spring JdbcTemplate查询实例

				
			

			

				

					06-11
				

			

		

		

			
				
 Spring JdbcTemplate支持参数化的SQL查询,这可以避免SQL注入的风险。例如,使用`query`方法进行参数化查询:  ```java  String id = "1";  List<User> users = jdbcTemplate.query(  "SELECT * FROM users WHERE ...

			
		

	





	

		

			

				
					
spring jdbcTemplate 注入到servlet

				
			

			

				

					05-27
				

			

		

		

			
				
Java Web开发中,Spring框架提供了丰富的工具来简化数据库操作,其中之一就是`Spring JdbcTemplate`。`JdbcTemplate`是SpringJDBCJava Database Connectivity)的一层轻量级封装,它使得开发者能够更加方便地...

			
		

	





	

		

			

				
					
使用JdbcTemplate解决SQL注入问题

				
			

			

				

					m0_74582314的博客
				

				

					04-22
					
					2063
					
				

			

		

		

			
				
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。

			
		

	





	

		

			

				
					
jdbc——sql注入

				
			

			

				

					m0_72960906的博客
				

				

					10-31
					
					1047
					
				

			

		

		

			
				
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;#   密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。

			
		

	





	

		

			

				
					
Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法

				
			

			

				

					老徐的博客只有干货
				

				

					03-15
					
					4069
					
				

			

		

		

			
				
SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。

			
		

	





	

		

			

				
					
JDBC中的SQL注入

				
			

			

				

					DZH2020的博客
				

				

					08-14
					
					1254
					
				

			

		

		

			
				
JDBC中的SQL注入

			
		

	





	

		

			

				
					
JdbcTemplate防止sql注入攻击的源码解析

					
热门推荐

				
			

			

				

					阿呆的专栏
				

				

					09-04
					
					1万+
					
				

			

		

		

			
				
概述
使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。
会发生sql注入的查询
query(String sql, RowMapper<T> rowMapper)
源码解析
	@Override
	public <T> List<T> q...

			
		

	





	

		

			

				
					
jdbcTemplate注入过程

				
			

			

				

					
				

				

					11-08
					
					2275
					
				

			

		

		

			
				
1 spring配置c3p0连接池
(1)导入jar包


(2) 创建spring配置文件,配置连接池


 
2、完整代码如下
UserDao.java



package com.liuyanzhao.c3p0;import org.springframework.jdbc.core.JdbcTemplate;public class UserDao {    /

			
		

	





	

		

			

				
					
数据源注入JdbcTemplate类中

				
			

			

				

					qq_44113347的博客
				

				

					04-04
					
					533
					
				

			

		

		

			
				
对象的创建是由 Spring 容器自动完成的,我们只需要将它注入到需要使用它的类中即可。对象,从而可以使用它来执行 SQL 操作。在上面的例子中,我们在方法参数注入。,并使用它创建了一个。

			
		

	





	

		

			

				
					
JDBC-防止SQL注入

				
			

			

				

					m0_63144452的博客
				

				

					10-25
					
					1114
					
				

			

		

		

			
				
1、什么是sql注入。----->sql拼接安全问题。

由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响

而Statement存在sql注入的问题:因为他的sql字符串拼接。

2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。

PreparedStatement利用预编译的机制将sql语句的主干

			
		

	





	

		

			

				
					
Spring JdbcTemplate使用详解

				
			

			

				

					
				

			

		

		

			
				
`占位符和命名参数,便于安全地传递SQL参数,防止SQL注入。  ### 使用JdbcTemplate的步骤 1. 添加Spring JDBC的依赖到项目中。 2. 配置数据源(DataSource)和JdbcTemplate实例。 3. 创建JdbcTemplate对象并注入数据...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值