Mysql 的sql注入是什么?怎么解决?_mysql sql注入是怎么引起的-优快云博客

本文链接：https://blog.youkuaiyun.com/weixin_43548518/article/details/111959914

SQL注入是指因程序未正确过滤用户输入，导致数据库执行非预期的SQL语句。文章通过一个例子展示了如何利用注入漏洞非法登录，然后介绍了通过使用PreparedStatement和占位符来防止SQL注入，强调了预编译SQL的优势，包括安全性、性能提升和代码可读性增强。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

sql注入的原因
sql语句和用户输入的内容进行拼接，发送给数据库编译的时候，数据库将用户输入的内容当成sql语句编译了。从而从根本上改变了我们开发者所期望sql语句原有的含义。导致程序受到sql攻击。

sql注入的代码
这案例用户名密码均错误也可以登陆,就是发生了sql注入

public static void main(String[] args) throws Exception {
        //假设这里的用户名和密码是前端页面传递过来的。
        String username = "admin' -- ";
        String password = "1234";
        //注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //获取连接
        Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day05", "root", "123");
        //创建statement对象
        Statement statement = con.createStatement();
        //向数据库发送sql语句，查看该用户是否存在。这条sql语句查询的该用户名和密码的用户有多少个。
        String sql = "select count(*) from user where name = '" + username + "' and password = '" + password + "'";
        ResultSet rs = statement.executeQuery(sql);
        int count = 0;
        while (rs.next()) {
            //获取count(*)的值
            count = rs.getInt(1);
        }
        if(count==1){
            //只有一个同时满足用户名和密码的用户，可以登录
            System.out.println("登录成功");
        }else if(count==0){
            //不存在该用户
            System.out.println("不能登录");
        }
        
    }

执行代码，可以发现用户名为 admin’ – ，密码为 1234 这样的用户是不存在的，但是尽然可以登录成功。那么这是什么原因造成的呢？
将字符串拼接后的sql语句放在可视化工具中查看发现如下情况，可以发现，后面密码的验证被注释掉了。这样岂不是谁都可以登录了？在这里插入图片描述

解决方法
首先将sql语句所代表的含义确定下来，然后再向编译好的sql语句中填充用户输入的内容。这样用户输入的内容就不会再被编译了。所以需要我们学习preparedStatement向数据库发送预编译的sql语句。

就是preparedStatement + 占位符 ?搭配使用（先编译再传参数）

解决sql注入之后的代码

public static void main(String[] args) throws Exception {
		String username = "wangwu' -- ";
		String password = "5555";
		//注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		//获取连接
		Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/day09_1","root","123");
		//创建preparedStatement对象
		//要让sql语句进行预编译，需要保证sql语句的完整。所以需要首先使用?来占位。
		String sql = "select count(*) from user where username=? and password=?";
		PreparedStatement ps = con.prepareStatement(sql);
		//将用户填写的值填充到编译好的sql语句中
		ps.setString(1, username);
		ps.setString(2, password);
		//执行sql语句
		ResultSet rs = ps.executeQuery();
		int count = 0;
		while(rs.next()){
			 count = rs.getInt(1);
		}
		if(count==1){
			System.out.println("登录成功");
		}else{
			System.out.println("登录不成功");
		}
		rs.close();
		ps.close();
		con.close();
	}

PreparedStatement解决sql注入的原理
PreparedStatement 解决SQL注入原理，运行在SQL中参数以?占位符的方式表示
select * from user where username = ? and password = ? ;
将带有 ? 的SQL 发送给数据库完成编译（不能执行的SQL 带有?的SQL 进行编译叫做预编译），在SQL编译后发现缺少两个参数
PreparedStatement 可以将? 代替参数发送给数据库服务器，因为SQL已经编译过，参数中特殊字符不会当做特殊字符编译，无法达到SQL注入的目的

** PreparedStatement优点**
相对于Statement对象而言：
1、PreperedStatement可以避免SQL注入的问题。
2、Statement对象每次执行SQL语句时，都会对其进行编译。当相同的SQL语句被执行被执行多次时，Statement对象就会使数据库频繁编译相同的SQL语句，从而降低数据库的效率。
PreparedStatement对象可对SQL语句进行预编译。也就是说，当相同的SQL语句再次执行时，数据库只需使用缓冲区中的数据，而不需要对SQL语句在次编译，从而提高访问效率。
3、并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。可读性变强。