浅析预编译防止SQL注入的原理
文章目录
-
- 一、什么是SQL注入
- 二、预编译防止SQL注入
- 三、mybatis中如何防止SQL注入
一、什么是SQL注入
要理解防止SQL注入的原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:
对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。
假如我们有一个登录页面,登录页面大致如下图所示。
这个时候,用户正常登陆就是输入用户名和密码进行登录。
我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代码是有出入的,这里主要是为了对SQL注入进行一个简单的演示)。
登录逻辑:
public static boolean login(String username,String password) {
// 数据库连接信息
String driver = "com.mysql.jdbc.Driver";
String url = "jdbc:mysql://localhost:3306/test";
String uid = "root";
String pwd = "9527";
try {
// 加载驱动
Class.forName(driver);
// 建立数据库连接
Connection conn = DriverManager.getConnection(url, uid, pwd);
// 拼接SQL语句
String sql = "select * from user where username =" + "'" + username + "'" + "and password =" + "'" + password + "'";
Statement statement = conn.createStatement();
// 执行查询SQL
ResultSet resultSet = statement.executeQuery(sql);
if (resultSet.next()){
System.out.println("有符合条件的用户");
return true;
}else {
System.out.println("没有符合条件的用户");
return false;
}
} catch (Exception e) {
e.printStackTrace();
System.out.println("连接数据库失败");
}
return false;
}
用户表如下:
登录时,当输入正确的用户名和密码,比如输入用户名:admin,密码:1234
在主函数中模仿前端输入用户名和密码,调用登录方法。
public static void main(String[] args) {
boolean isSuccess = Test2.login("admin", "1234");
if(isSuccess){
System.out.println("登录成功,跳转到首页");
}else {
System.out.println("用户名或密码不正确,请重新输入");
}
}
此时,运行结果如下图:
当用户名或者密码输错了,比如输入用户名:admin,密码:12345
执行结果如下:
到目前为止,一切看起来都比较合理。但是永远不要相信用户的输入;如果用户输入用户名:任意
密码:’ or 1=‘1
结果如下:
为什么会这样呢?
原因就在于**’ or 1='1**
在代码中增加一个打印语句,将拼接后的SQL打印出来
密码输入**’ or 1='1**之后,经过拼接的SQL语句实际上为
select * from user where username ='1234'and password ='' or 1='1'
上述SQL又等价于
select * from user
因为有了 or 1=1 这条恒成立的条件语句,所以一定能够查到数据库里面的信息,并且能够查到数据库里面的所有用户的信息。
为了验证是否确实查到了user表中的所有用户信息,我们改造了刚刚的login方法,如下:
public static void login2(String username, String password) {
// 数据库连接信息
String driver = "com.mysql.jdbc.Driver";
String url = "jdbc:mysql://localhost:3306/test";
String uid = "root";
String pwd = "9527";
try {
// 加载驱动
Class.forName(driver);
// 建立数据库连接
Connection conn = DriverManager.getConnection(url, uid, pwd);
// 拼接SQL语句
String sql = "select * from user where username =" + "'" + username + "'" + "and password =" + "'" + password + "'";
System.out.println(sql);
Statement statement = conn.createStatement();
// 执行查询SQL
ResultSet resultSet = statement.executeQuery(sql);
while (resultSet.next()){
System.out.println("有符合条件的用户");
System.out.println("通过注入获取到的字段1=" + resultSet.getString(1));
System.out.println("通过注入获取到的字段2=" + resultSet.getString(2));
System.out.println("通过注入获取到的字段3=" + resultSet.getString(3));
}
} catch (Exception e) {
e.printStackTrace();
System.out.println("连接数据库失败");
}
}
打印的信息如下:
查询到的结果与上面我们展示的user表的的数据完全一致,由此可见,确实是查询到了user表中的全部信息。
这个典型的通过SQL注入绕过用户名与密码验证的漏洞!但SQL注入的风险,远远不止在登录存在,在其他各种输入框的地方都可能会存在SQL注入的风险。而SQL注入可能会带来很大的安全隐患,所以防止SQL注入是非常有必要的。
二、预编译防止SQL注入
上面的登录代码,虽然不是很符合真正开发中的登录逻辑,但是也能够很好的帮助我们理解SQL注入了。那么上面的代码为什么会存在SQL注入的漏洞呢?因为用户在输入时,输入了特殊的字符**’ or 1='1**,以至于,在拼接SQL的时候,出现了问题,拼接出一条能够查询出整个表的数据的SQL语句,这是非常不安全的。
那么有没有什么方法能够解决这个问题呢?这要讲到今天的主题了。
我们前面用拼接的方式,可以让人有机可乘,通过特殊代码进行SQL注入;那如果我们不用拼接的方式,而用预编译的方式会有什么不一样呢?为什么预编译的方式可以防止SQL注入呢?
我们同样通过一个小例子来演示:
public class Test {
public static void main(String[] args) {
Test.login("1234", "' or 1='1");
}
public static void login(String username,String password){
String driver = "com.mysql.jdbc.Driver";
String url = "jdbc:mysql://localhost:3306/test";
String uid = "root";
String pwd = "9527";
try {
Class.forName(driver);
Connection conn = DriverManager.getConnection(url, uid, pwd);
String sql = "select * from user where username = ? and password = ?";
PreparedStatement preparedStatement = conn.prepareStatement(sql);
preparedStatement.setString(1,username);
preparedStatement.setString(2,password);
System.out.println(preparedStatement.toString());
ResultSet resultSet = preparedStatement.executeQuery();
while (resultSet.next()){
System.out.println("uid="+resultSet.getString("uid"));
System.out.println("username="+resultSet.getString("username"));
System.out.println("password="+resultSet.getString("password"));
}
} catch (Exception e) {
e.printStackTrace();
System.out.println("连接失败");
}
}
}
可以看到,使用了预编译之后,’ or 1='1变得不管用了,最终查询到0条数据,因为数据库里面没有用户名为1234,密码为**’ or 1='1**的数据。
而我们输入正确的用户名和密码时,能够查询到相应的数据。
对于预编译语句来说,每个pstmt都与一个sql模板绑定在一起,先把sql模板给数据库,数据库先进行校验,再进行编译。执行时只是把参数传递过去而已!
String sql = "select * from user where username = ? and password = ?";
上述带问号的SQL就是预编译语句的SQL模板,执行前需要先把真正的参数传进去替换掉问号,然后在执行。
并且替换的时候,如果是用setString()方法用String类型的参数去替换问号,替换后的结果会自动加上单引号
这个地方由于,我们给的参数里面包含单引号,所以还对其添加了转义字符“\”
这样一来的话,就不会存在上面拼接SQL时出现的情况了,从而防止了SQL注入
三、mybatis中如何防止SQL注入
在mybatis中,使用#{ },其底层实际上就是使用了预编译的方式,所以使用#{ }可以防止SQL注入;而${ }实际上就是使用的拼接SQL的方式,这会有SQL注入的风险。
演示一下在mybatis中使用#{ }
Xml文件中写的#{} 它会给你转成一个?占位符; 传入值替换?的时候 是会加上一个单引号的
所以上面mybatis实际执行的SQL语句如下:
从上面的过程也可以看出 在mybatis中使用#{ } 传递,与JDBC中预编译方式一致,可以防止SQL注入。