PreparedStatement是如何防止SQL注入的?

PreparedStatement是如何防止SQL注入的?

 

1 什么是SQL注入?

Statement statement = connection.createStatement();
String user = "1' OR ";
String password = "='1' OR '1' = '1";
//使用Statement,SQL语句使用字符串拼接
String sql = "SELECT user,password FROM user_table WHERE USER = '" + userName + "' AND PASSWORD = '" + password+ "'";
statement.execute(sql);

在MySQL的日志文件中

#条件出现  '1'='1'  恒成立,出现bug
SELECT USER,PASSWORD FROM user_table WHERE USER = '1' OR ' AND PASSWORD = '='1' OR '1' = '1';

以上出现的情况被认为是SQL注入

 


 

2 PreparedStatement可以解决SQL注入问题

 

2.1 PreparedStatement的使用

  • 举例如下:
// '?'为通配符,需要填充
String sql = "SELECT user,password FROM user_table WHERE USER = ? AND PASSWORD = ?"
PreparedStatement ps = connection.prepareStatement(sql);
//填充占位符,其中args为占位符('?')的填充内容,填充从1开始
for(int i = 0;i < args.length;i++){
     
	ps.setObject(i + 1, args[i]);
}
ps.excute();

 

2.2 PreparedStatement是如何解决SQL注入问题的?

  • 我们在使用Connection获取PreparedStatement对象时,会把SQL语句作为参数传入,此时,SQL语句会在PreparedStatement对象初始化的时候进行一次预编译。在内存中执行如下:

com.mysql.jdbc.JDBC42PreparedStatement@b1a58a3: SELECT user,password FROM user_table WHERE USER = ** AND PASSWORD = **

 

  • 当我们对占位符进行填充的时候就是替换上面的’**’,而当出现字符时系统会在内存中自动进行转译,结果如下:

com.mysql.jdbc.JDBC42PreparedStatement@b1a58a3: SELECT USER,PASSWORD FROM user_table WHERE USER = ‘1\’ OR ’ AND PASSWORD = '=\‘1\’ OR \‘1\’ = \‘1’;

 
实际在MySQL中执行的是

SELECT USER,PASSWORD FROM user_table WHERE USER = "1' OR " AND PASSWORD = "='1' OR '1' = '1";

不会对SQL语句修改。

 


3 总结

PreparedStatement能够防止SQL注入的主要原因是能够实现预编译,在对占位符进行填充的时候会对符号进行转译处理。所以,平常我们最好是别使用Statement,使用PreparedStatement进行替换。

 
 

参考:栖息之鹰-PreparedStatement是如何防止SQL注入的?

以上内容纯手打,码字不易,如需转载请声明出处,谢谢!
作者:LouisHaoL

你可能感兴趣的:(自学Java,SQL注入)