2. 程式人生 > >為啥jdbc問號佔位符可以防注入

為啥jdbc問號佔位符可以防注入

阿新 發佈:2018-12-16

最近幾天探討一下關於sql注入的問題,以前林老師也講過,現在總結一下,

其實,like是會注入的,也不建議用,用佔位符實際查詢效果不是like本身的意思,相當全匹配。

建議使用instr()函式,本文主要記錄一下處理防止注入的原始碼,為什麼用?可以防注入,而拼接的sql可以注入。

先看下面用佔位符來查詢的一句話

String sql = "select * from administrator where adminname=?"; psm = con.prepareStatement(sql);

String s_name ="zhangsan' or '1'='1"; psm.setString(1, s_name);

假設資料庫表中並沒有zhangsan這個使用者名稱,

用plsql執行sql語句,可以查出來所有的使用者名稱,但是在Java中並沒有查出任何資料,這是為什麼呢?

首先,setString()的原始碼中只有方法名字,並沒有任何過程性處理,

那麼答案肯定出現在Java到資料庫這個過程中,也就是mysql和oracle驅動包中,在mysql驅動包中,PreparedStatement繼承並實現了jdk中的setString方法,翻看一下原始碼,主要是做了轉義處理,

也就是原因在於資料庫廠商幫你解決了這個問題,下面就看看這個方法的具體實現:

    public void setString(int parameterIndex, String x)             throws SQLException         {             if(x == null)             {                 setNull(parameterIndex, 1);             } else             {                 checkClosed();                 int stringLength = x.length();                 if(connection.isNoBackslashEscapesSet())                 {                     boolean needsHexEscape = isEscapeNeededForString(x, stringLength);                     if(!needsHexEscape)                     {                         byte parameterAsBytes[] = null;                         StringBuffer quotedString = new StringBuffer(x.length() + 2);                         quotedString.append('\'');                         quotedString.append(x);                         quotedString.append('\'');                         if(!isLoadDataQuery)                             parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());                         else                             parameterAsBytes = quotedString.toString().getBytes();                         setInternal(parameterIndex, parameterAsBytes);                     } else                     {                         byte parameterAsBytes[] = null;                         if(!isLoadDataQuery)                             parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());                         else                             parameterAsBytes = x.getBytes();                         setBytes(parameterIndex, parameterAsBytes);                     }                     return;                 }                 String parameterAsString = x;                 boolean needsQuoted = true;                 if(isLoadDataQuery || isEscapeNeededForString(x, stringLength))                 {                     needsQuoted = false;                     StringBuffer buf = new StringBuffer((int)((double)x.length() * 1.1000000000000001D));                     buf.append('\'');                     for(int i = 0; i < stringLength; i++)                     {                         char c = x.charAt(i);                         switch(c)                         {                         case 0: // '\0'                             buf.append('\\');                             buf.append('0');                             break;                         case 10: // '\n'                             buf.append('\\');                             buf.append('n');                             break;                         case 13: // '\r'                             buf.append('\\');                             buf.append('r');                             break;                         case 92: // '\\'                             buf.append('\\');                             buf.append('\\');                             break;                         case 39: // '\''                             buf.append('\\');                             buf.append('\'');                             break;                         case 34: // '"'                             if(usingAnsiMode)                                 buf.append('\\');                             buf.append('"');                             break;                         case 26: // '\032'                             buf.append('\\');                             buf.append('Z');                             break;                         default:                             buf.append(c);                             break;                         }                     }                     buf.append('\'');                     parameterAsString = buf.toString();                 }                 byte parameterAsBytes[] = null;                 if(!isLoadDataQuery)                 {                     if(needsQuoted)                         parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());                     else                         parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());                 } else                 {                     parameterAsBytes = parameterAsString.getBytes();                 }                 setInternal(parameterIndex, parameterAsBytes);                 parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;             }         }  

相關推薦

為啥jdbc問號佔位可以防注入

最近幾天探討一下關於sql注入的問題,以前林老師也講過,現在總結一下, 其實,like是會注入的,也不建議用,用佔位符實際查詢效果不是like本身的意思,相當全匹配。 建議使用instr()函式,本文主要記錄一下處理防止注入的原始碼,為什麼用?可以防注入,而拼接的sql可

JDBC使用佔位插入資料報錯MySQLSyntaxErrorException: You have an error.....syntax to use near '?,?)'

JDBC使用佔位符插入資料報錯:com.mysql.jdbc.exceptions.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that correspo

Oracle JDBC通過佔位可以查詢可變長欄位,不可查詢固定長度欄位

這個問題在半年前,花了我兩天的時間才解決,現在剛好想起來,順便記錄一下以防忘了。 通過jdbc,預編譯的sql,無法查詢到固定長度的欄位。 用例子說話: 建立一個表,只有一個欄位,長度為固定的char型別。並插入一條資料。 create table tblchar (  na

Spring @Value("$XXX")注入值失敗,錯誤資訊提示:Could not resolve placeholder佔位不能被解析

問題原因: Caused by: java.lang.IllegalArgumentException: Could not resolve placeholder 'wx.app.config.appid' in string value "${wx.app.config

java-JDBC中?佔位的使用問題,?佔位不可用來設定欄位名,表明等。

Class.forName(“com.mysql.jdbc.Driver”); con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/selldb”,“root”,“root”); String sql = “selec

prepareStatement進行增刪改查---填充佔位(防止sql注入

首先建立表 然後構造一個實體類–封裝資料庫欄位 Student package com.godinsec; public class Student { private int id; private String name;

jdbc之使用佔位的增刪改查

package com.hanchao.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sq

佔位,SQL注入

這兩天在上課時被同學拿了一段程式碼問我,這段程式碼有什麼問題,我看了一會說:Connection和PreparedStatement都沒關。他說不止這方面的問題,還有sql注入的問題,我就堅決的說使用了佔位符不存在sql注入的問題,但是他提出了一種情況,在我看來也很有道理的

簡單 maven工程 spring注入 佔位 替換打包

一:安裝必要的環境軟體,可以參考網上的資料; 二: 使用maven模版建立工程;          1:使用框架建立工程;         點選完成;           2:生成工程如圖所示:             3:新增config檔案,作為配置資料夾,並

佔位防止sql注入

防止sql注入方式:1.在jdbc的PreparedStatement 用?佔位符String sql= "SELECT * FORM emp where ENAME=?"; PreparedState

jdbc-佔位

package com.oracle.jdbc.mysql; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.

深入Spring Boot:那些注入不了的Spring佔位(${}表示式)

Spring裡的佔位符 spring裡的佔位符通常表現的形式是: <bean id="dataSource" destroy-method="close" class="org.apache.commons.dbcp.BasicDataSource

關於使用佔位來解決SQL注入

總結: SQL已經預編譯好了,然後替換中間的佔位符,這個佔位符在編譯後就已經確定了它只是一個引數屬性。因此,用注入的程式碼去替換佔位符,這個SQL也不會再進行編譯了,所以也達不到注入的目的。 SQL注入並不是一個在SQL內不可解決的問題,這種攻擊方式的存在也不能完全歸

CSS3 圖片佔位 https://placeholder.com

分享一個偶然看到的非常有用的圖片佔位符網站: https://placeholder.com/ What Is Placeholder.com ? Placeholder.com generates custom placeholder images on the fl

slf4j比log4j更優秀的一點是可以使用佔位

對於log4j來說,使用logger.debug()訊息的時候,如果需要連線字串,則很麻煩,需要類似這樣: private static Logger logger = Logger.getLogger(ExchangeService.class); logger.debug("你好

Sass之混合巨集、繼承、佔位

  1、混合巨集。     當樣式變得越來越複雜,需要重複使用大段的樣式時,使用變數就無法達到我們目的了。這個時候混合巨集就派上用場了。   而使用混合巨集時,首先要宣告混合巨集,而宣告混合巨集時有兩種,不帶引數混合巨集和帶引數混合巨集兩種。   1.1 不帶引數混合巨集的宣告要使用關鍵詞@mixin。

2mybatis(和佔位與拼接區別)

6.2.3. 佔位符與拼接符區別 1.  型別處理: 佔位符#{}傳遞引數時會做引數型別處理, 拼接符${}傳遞引數時不會做型別處理只進行字串原樣拼接 2.  安全性: ${}的原樣拼接導致它存在安全漏洞,容易產生SQL注入風險

SpringBoot學習_配置檔案佔位

文章目錄 隨機數 佔位符獲取之前配置的值,如果沒有可以用:指定預設值 隨機數 ${random.value}、${random.int}、${random.long} ${random.int(10)}、${random.

佔位 %s

a = input("Name:")b = input("Age:")c = input("Job:")d = input("hobby:")info = '''------------ info of %s ----------- Name : %sAge : %sjob : %shobby: %s----

React Js img 圖片顯示預設 佔位

本問出自: http://blog.csdn.net/wyk304443164 沒有考慮到相容性,因為我們暫時只適配了webkit。 也沒有考慮到懶載入,因為專案比較緊有需要加的朋友看react-lazyload,也比較簡單,現成的輪子 /** * Crea