本人微信公眾號,歡迎掃碼關註! 使用jdbc拼接條件查詢語句時如何防止sql註入 最近公司的項目在上線時需要進行安全掃描,但是有幾個項目中含有部分老代碼,操作資料庫時使用的是jdbc,並且竟然好多都是拼接的SQL語句,真是令人抓狂。 在具體改造時,必須使用PreparedStatement來防止SQ ...
本人微信公眾號,歡迎掃碼關註!
使用jdbc拼接條件查詢語句時如何防止sql註入
- 最近公司的項目在上線時需要進行安全掃描,但是有幾個項目中含有部分老代碼,操作資料庫時使用的是jdbc,並且竟然好多都是拼接的SQL語句,真是令人抓狂。
在具體改造時,必須使用PreparedStatement來防止SQL註入,普通SQL語句比較容易改造,本重點探討在拼接查詢條件的時候如何方式SQL註入,具體思路請參考下麵的示例代碼。
1 資料庫示例數據
2 使用statement(不防止SQL註入)
2.1 示例代碼
@Test
public void statementTest() {
String username = "tom";
String sex = "1";
String address = "' or '1'='1";
Statement stat = null;
ResultSet res = null;
Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";
sql += username == null ? "" : " AND username = '" + username + "'";
sql += sex == null ? "" : " AND sex = '" + sex + "'";
sql += address == null ? "" : " AND address = '" + address + "'";
System.out.println(sql);
try {
stat = conn.createStatement();
res = stat.executeQuery(sql);
printRes(res);
} catch (SQLException e) {
e.printStackTrace();
} finally {
ResourceClose.close(res, stat, conn);
}
}2.2 控制台結果
SELECT * FROM user WHERE 1 = 1 AND username = 'tom' AND sex = '1' AND address = '' or '1'='1'
10 tom 2014-07-10 1 beijing
16 tom 2018-07-31 1 shanghai
22 tom 2019-04-16 2 shanghai
24 tom 2019-06-22 1 guangzhou
25 tom 2019-01-22 2 guangzhou
28 tom 2018-07-31 1 shenzhen 2.3 小結
- 經過上面的示例代碼我們可以發現,單純拼接SQL語句是非常危險的,特別容易被SQL註入,但是如果使用prepareStatement的話,像這種條件查詢我們預先並不能確定到底有多少個?(占位符),也就不能使用按照?(占位符)索引去設置參數了,那怎麼辦呢?
別擔心,此時我們使用一個小小的技巧,具體參考下麵的示例代碼
3 使用prepareStatement(可以防止SQL註入)
3.1 示例代碼
@Test
public void prepareStatementTest() {
String username = "tom";
String sex = null;
String address = "' or '1'='1";
PreparedStatement stat = null;
ResultSet res = null;
Connection conn = ConnectionFactory.getConnection();
String sql = "SELECT * FROM user WHERE 1 = 1";
List<Object> param = new ArrayList<>();
if (username != null) {
sql += " AND username = ?";
param.add(username);
}
if (sex != null) {
sql += " AND sex = ?";
param.add(sex);
}
if (address != null) {
sql += " AND address = ?";
param.add(address);
}
System.out.println(sql);
try {
stat = conn.prepareStatement(sql);
for (int i = 0; i < param.size(); i++) {
stat.setObject(i+1,param.get(i));
}
res = stat.executeQuery();
printRes(res);
} catch (SQLException e) {
e.printStackTrace();
} finally {
ResourceClose.close(res, stat, conn);
}
}3.2 控制台結果
SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?3.3 小結
- 可以看出,使用prepareStatement是可以防止SQL註入的。
但進行類似條件拼接這種操作時,可以先把參數放入一個集合中,然後遍歷集合,同時利用setObject(index,obj)這個方法就可以動態的獲取參數的索引了,而且不用關心參數是何種類型。
4 問題總結
- 如今在進行項目開發時已經很少使用原生的jdbc了,大多數都用功能強大的框架去完成,他們幫我們簡化了很多操作,如獲取資料庫連接、封裝結果集、SQL預編譯(可以防止SQL註入)
如果實在避免不了使用的話一定要使用可以需編譯的prepareStatement對象,避免被SQL註入帶來的風險。
