快捷導(dǎo)航

JDBC中Statement的Sql注入問題詳解

更新時間：2023年10月16日 11:30:32 作者：發(fā)光吖

這篇文章主要介紹了JDBC中Statement的Sql注入問題詳解,sql注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入web應(yīng)用程序,而這些輸入大都是sql語法里的一些組合,通過執(zhí)行sql語句進而執(zhí)行攻擊者所要做的操作,需要的朋友可以參考下

Statement的Sql注入問題

sql注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入web應(yīng)用程序，而這些輸入大都是sql語法里的一些組合，通過執(zhí)行sql語句進而執(zhí)行攻擊者所要做的操作，其產(chǎn)生的主要原因在于應(yīng)用程序沒有細致地過濾用戶輸入的數(shù)據(jù)，致使非法數(shù)據(jù)侵入系統(tǒng)。

我們通過一個用戶登錄的小案例來大致了解sql注入的情況：(Oracle數(shù)據(jù)庫環(huán)境)

首先準備一張表t_user:

在這里插入圖片描述

create table t_user(
	name varchar2(10) primary key,
	password varchar2(10) not null
)

插入一些測試數(shù)據(jù)：

insert into t_user(name,password) values('tom','123');
insert into t_user(name,password) values('mary','456');
commit;

所使用的數(shù)據(jù)庫驅(qū)動：ojdbc8.jar

用JDBC連接數(shù)據(jù)庫，寫一個登錄案例：

public class TestSqlInjection {
	public static void main(String[] args) {
		String driverClass = "oracle.jdbc.OracleDriver";
		String url = "jdbc:oracle:thin:@127.0.0.1:1521:XE";
		String user = "briup";
		String password = "briup";

		@SuppressWarnings("resource")
		Scanner input = new Scanner(System.in);
		Connection conn = null;
		Statement stmt = null;
		ResultSet rs = null;
		try {
			Class.forName(driverClass);
			conn = DriverManager.getConnection(url, user, password);
			stmt = conn.createStatement();
			System.out.println("請輸入用戶名：");
			String uname = input.nextLine();
			System.out.println("請輸入密碼：");
			String upass = input.nextLine();
			String sql = "SELECT name,password FROM t_user WHERE name='" + uname + "' AND password='" + upass + "'";
			// uname xxx
			// upass xxx' or '1'='1
			rs = stmt.executeQuery(sql);
			if (rs.next()) {
				System.out.println("登錄成功");
				// 這時候我們認為用戶名和密碼都正確情況下查詢出來的用戶肯定只有一條
				System.out.println("歡迎您，" + uname);
			} else {
				System.err.println("用戶名或密碼錯誤！");
			}
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			if (rs != null) {
				try {
					rs.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if (stmt != null) {
				try {
					stmt.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if (conn != null) {
				try {
					conn.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
		}
	}
}

效果：

在這里插入圖片描述

很顯然使用Statement的確產(chǎn)生了sql注入的問題。

但是使用PreparedStatement可以有效解決這個問題。

public class TestSqlInjection {
	public static void main(String[] args) {
		String driverClass = "oracle.jdbc.OracleDriver";
		String url = "jdbc:oracle:thin:@127.0.0.1:1521:XE";
		String user = "briup";
		String password = "briup";

		@SuppressWarnings("resource")
		Scanner input = new Scanner(System.in);
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			Class.forName(driverClass);
			conn = DriverManager.getConnection(url, user, password);
			String sql = "SELECT name,password FROM t_user WHERE name=? AND password=?";
			ps = conn.prepareStatement(sql);
	        //uname xxx
	        //upass xxx' or '1'='1
			System.out.println("請輸入用戶名：");
			String uname = input.nextLine();
			ps.setString(1, uname);
			System.out.println("請輸入密碼：");
			String upass = input.nextLine();
			ps.setString(2, upass);
			rs = ps.executeQuery();
			if (rs.next()) {
				System.out.println("登錄成功");
				System.out.println("歡迎您，" + uname);
			} else {
				System.err.println("用戶名或密碼錯誤！");
			}
		} catch (ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			if (rs != null) {
				try {
					rs.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if (ps != null) {
				try {
					ps.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if (conn != null) {
				try {
					conn.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
		}
	}
}

PreparedStatement 除了可以防止sql注入，在執(zhí)行大量重復(fù)性插入語句時，也會明顯提升程序運行的性能，同時避免了繁瑣的字符串拼接操作。

對比：

Statement ，是每次執(zhí)行一個sql語句，就要把一個完成的sql語句發(fā)送給數(shù)據(jù)庫進行執(zhí)行，然后取回返回的結(jié)果。

PreparedStatement ，可以把一個sql語句的結(jié)構(gòu)，提前發(fā)送給數(shù)據(jù)庫進行預(yù)處理，然后在專門給發(fā)送要操作的具體的值，在數(shù)據(jù)量大的時候，這種方式會大大提高執(zhí)行效率。

到此這篇關(guān)于JDBC中Statement的Sql注入問題詳解的文章就介紹到這了,更多相關(guān)Statement的Sql注入問題內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: