使用jdbc拼接條件查詢語句時如何防止sql註入
阿新 • • 發佈:2019-04-28
拼接 微信 array void jpg nts from 比較 怎麽辦
本人微信公眾號,歡迎掃碼關註!
使用jdbc拼接條件查詢語句時如何防止sql註入
- 最近公司的項目在上線時需要進行安全掃描,但是有幾個項目中含有部分老代碼,操作數據庫時使用的是jdbc,並且竟然好多都是拼接的SQL語句,真是令人抓狂。
在具體改造時,必須使用PreparedStatement來防止SQL註入,普通SQL語句比較容易改造,本重點探討在拼接查詢條件的時候如何方式SQL註入,具體思路請參考下面的示例代碼。
1 數據庫示例數據
2 使用statement(不防止SQL註入)
2.1 示例代碼
@Test public void statementTest() { String username = "tom"; String sex = "1"; String address = "' or '1'='1"; Statement stat = null; ResultSet res = null; Connection conn = ConnectionFactory.getConnection(); String sql = "SELECT * FROM user WHERE 1 = 1"; sql += username == null ? "" : " AND username = '" + username + "'"; sql += sex == null ? "" : " AND sex = '" + sex + "'"; sql += address == null ? "" : " AND address = '" + address + "'"; System.out.println(sql); try { stat = conn.createStatement(); res = stat.executeQuery(sql); printRes(res); } catch (SQLException e) { e.printStackTrace(); } finally { ResourceClose.close(res, stat, conn); } }
2.2 控制臺結果
SELECT * FROM user WHERE 1 = 1 AND username = 'tom' AND sex = '1' AND address = '' or '1'='1' 10 tom 2014-07-10 1 beijing 16 tom 2018-07-31 1 shanghai 22 tom 2019-04-16 2 shanghai 24 tom 2019-06-22 1 guangzhou 25 tom 2019-01-22 2 guangzhou 28 tom 2018-07-31 1 shenzhen
2.3 小結
- 經過上面的示例代碼我們可以發現,單純拼接SQL語句是非常危險的,特別容易被SQL註入,但是如果使用prepareStatement的話,像這種條件查詢我們預先並不能確定到底有多少個?(占位符),也就不能使用按照?(占位符)索引去設置參數了,那怎麽辦呢?
別擔心,此時我們使用一個小小的技巧,具體參考下面的示例代碼
3 使用prepareStatement(可以防止SQL註入)
3.1 示例代碼
@Test public void prepareStatementTest() { String username = "tom"; String sex = null; String address = "' or '1'='1"; PreparedStatement stat = null; ResultSet res = null; Connection conn = ConnectionFactory.getConnection(); String sql = "SELECT * FROM user WHERE 1 = 1"; List<Object> param = new ArrayList<>(); if (username != null) { sql += " AND username = ?"; param.add(username); } if (sex != null) { sql += " AND sex = ?"; param.add(sex); } if (address != null) { sql += " AND address = ?"; param.add(address); } System.out.println(sql); try { stat = conn.prepareStatement(sql); for (int i = 0; i < param.size(); i++) { stat.setObject(i+1,param.get(i)); } res = stat.executeQuery(); printRes(res); } catch (SQLException e) { e.printStackTrace(); } finally { ResourceClose.close(res, stat, conn); } }
3.2 控制臺結果
SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?3.3 小結
- 可以看出,使用prepareStatement是可以防止SQL註入的。
但進行類似條件拼接這種操作時,可以先把參數放入一個集合中,然後遍歷集合,同時利用setObject(index,obj)這個方法就可以動態的獲取參數的索引了,而且不用關心參數是何種類型。
4 問題總結
- 如今在進行項目開發時已經很少使用原生的jdbc了,大多數都用功能強大的框架去完成,他們幫我們簡化了很多操作,如獲取數據庫連接、封裝結果集、SQL預編譯(可以防止SQL註入)
如果實在避免不了使用的話一定要使用可以需編譯的prepareStatement對象,避免被SQL註入帶來的風險。
使用jdbc拼接條件查詢語句時如何防止sql註入