Java jdbc 물음표 자리 표시자가 주입 방지인 이유는 무엇입니까?-java지도 시간-php.cn

집

Java

java지도 시간

Java jdbc 물음표 자리 표시자가 주입 방지인 이유는 무엇입니까?

青灯夜游

Oct 22, 2018 pm 04:18 PM

jdbc 자리 표시자 주사 방지

本篇文章给大家带来的内容是介绍为什么java jdbc问号占位符可以防注入?有一定的参考价值，有需要的朋友可以参考一下，希望对你们有所帮助。

最近几天探讨一下关于sql注入的问题，以前林老师也讲过，现在总结一下：

其实，like是会注入的，也不建议用，用占位符实际查询效果不是like本身的意思，相当全匹配。

建议使用instr()函数，本文主要记录一下处理防止注入的源码，为什么用？可以防注入，而拼接的sql可以注入。

先看下面用占位符来查询的一句话

String sql = "select * from administrator where adminname=?";
psm = con.prepareStatement(sql);

로그인 후 복사

String s_name ="zhangsan&#39; or &#39;1&#39;=&#39;1";
psm.setString(1, s_name);

로그인 후 복사

假设数据库表中并没有zhangsan这个用户名，用plsql运行sql语句，可以查出来所有的用户名，但是在Java中并没有查出任何数据，这是为什么呢？

首先，setString()的源码中只有方法名字，并没有任何过程性处理。

那么答案肯定出现在Java到数据库这个过程中，也就是mysql和oracle驱动包中，在mysql驱动包中，PreparedStatement继承并实现了jdk中的setString方法，翻看一下源码，主要是做了转义处理。

也就是原因在于数据库厂商帮你解决了这个问题，下面就看看这个方法的具体实现：

public void setString(int parameterIndex, String x)
throws SQLException {
	if(x == null) {
		setNull(parameterIndex, 1);
	} else {
		checkClosed();
		int stringLength = x.length();
		if(connection.isNoBackslashEscapesSet()) {
			boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
			if(!needsHexEscape) {
				byte parameterAsBytes[] = null;
				StringBuffer quotedString = new StringBuffer(x.length() + 2);
				quotedString.append(&#39;\&#39;&#39;);
				quotedString.append(x);
				quotedString.append(&#39;\&#39;&#39;);
				if(!isLoadDataQuery)
					parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
				else
					parameterAsBytes = quotedString.toString().getBytes();
				setInternal(parameterIndex, parameterAsBytes);
			} else {
				byte parameterAsBytes[] = null;
				if(!isLoadDataQuery)
					parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
				else
					parameterAsBytes = x.getBytes();
				setBytes(parameterIndex, parameterAsBytes);
			}
			return;
		}
		String parameterAsString = x;
		boolean needsQuoted = true;
		if(isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
			needsQuoted = false;
			StringBuffer buf = new StringBuffer((int)((double) x.length() * 1.1000000000000001 D));
			buf.append(&#39;\&#39;&#39;);
			for(int i = 0; i < stringLength; i++) {
				char c = x.charAt(i);
				switch(c) {
					case 0: // &#39;\0&#39;
						buf.append(&#39;\\&#39;);
						buf.append(&#39;0&#39;);
						break;
					case 10: // &#39;\n&#39;
						buf.append(&#39;\\&#39;);
						buf.append(&#39;n&#39;);
						break;
					case 13: // &#39;\r&#39;
						buf.append(&#39;\\&#39;);
						buf.append(&#39;r&#39;);
						break;
					case 92: // &#39;\\&#39;
						buf.append(&#39;\\&#39;);
						buf.append(&#39;\\&#39;);
						break;
					case 39: // &#39;\&#39;&#39;
						buf.append(&#39;\\&#39;);
						buf.append(&#39;\&#39;&#39;);
						break;
					case 34: // &#39;"&#39;
						if(usingAnsiMode)
							buf.append(&#39;\\&#39;);
						buf.append(&#39;"&#39;);
						break;
					case 26: // &#39;\032&#39;
						buf.append(&#39;\\&#39;);
						buf.append(&#39;Z&#39;);
						break;
					default:
						buf.append(c);
						break;
				}
			}
			buf.append(&#39;\&#39;&#39;);
			parameterAsString = buf.toString();
		}
		byte parameterAsBytes[] = null;
		if(!isLoadDataQuery) {
			if(needsQuoted)
				parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, &#39;\&#39;&#39;, &#39;\&#39;&#39;, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
			else
				parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
		} else {
			parameterAsBytes = parameterAsString.getBytes();
		}
		setInternal(parameterIndex, parameterAsBytes);
		parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;
	}
}

로그인 후 복사

总结：以上就是本篇文的全部内容，希望能对大家的学习有所帮助。更多相关教程请访问Java视频教程，java开发图文教程，bootstrap视频教程！

위 내용은 Java jdbc 물음표 자리 표시자가 주입 방지인 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Video Face Swap

완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!

뜨거운 도구

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7696

자바 튜토리얼

1640

Cakephp 튜토리얼

1393

라라벨 튜토리얼

1287

PHP 튜토리얼

1229

Related knowledge

Java8(291) 이후에는 TLS1.1이 비활성화되고 JDBC가 SSL을 사용하여 SqlServer2008에 연결할 수 없습니다. 문제를 해결하는 방법은 무엇입니까? May 16, 2023 pm 11:55 PM

Java8-291 이후에는 TLS1.1이 비활성화되어 JDBC가 SSL을 사용하여 SqlServer2008에 연결할 수 없습니다. java.security 파일을 수정하는 방법은 무엇입니까? 1. jre의 java.security 파일을 찾으십시오. jre인 경우 lib/security의 {JAVA_HOME}/jre/로 이동합니다. 예를 들어 ????C:\ProgramFiles\Java\jre1.8.0_301\lib\security입니다. Eclipse 그린 설치가 필요 없는 휴대용 버전인 경우. , 설치 폴더(예:????xxx\plugins\org)에서 java.security를 검색하세요.

Java에서 JDBC 일괄 삽입을 구현하는 방법 May 18, 2023 am 10:02 AM

1. JDBC에서 ExecuteBatch 메소드는 여러 개의 dml 문을 일괄적으로 실행할 수 있으며, 개별적으로 ExecuteUpdate를 실행하는 것보다 효율성이 훨씬 높다는 점을 설명합니다. mysql과 oracle에서 일괄 실행을 구현하는 방법은 무엇입니까? 이 기사에서는 이에 대한 원리를 소개합니다. 2. 실험 소개 이 실험은 다음 세 단계를 통해 수행됩니다: a. mysql에서 jdbc의 일괄 실행과 단일 실행에 소요되는 시간을 기록합니다. b. oracle에서 jdbc의 일괄 실행과 단일 실행에 소요되는 시간을 기록합니다. c. oracleplsql의 일괄 실행과 단일 실행을 기록합니다. 실행 시간이 많이 걸리는 관련 Java 및 데이터베이스 버전은 다음과 같습니다. Java17, Mysql8, Oracle

Java 오류: JDBC 오류, 해결 및 방지 방법 Jun 24, 2023 pm 02:40 PM

Java가 널리 적용되면서 Java 프로그램이 데이터베이스에 연결할 때 JDBC 오류가 자주 발생합니다. JDBC(JavaDatabaseConnectivity)는 데이터베이스에 연결하는 데 사용되는 Java의 프로그래밍 인터페이스입니다. 따라서 JDBC 오류는 Java 프로그램이 데이터베이스와 상호 작용할 때 발생하는 오류입니다. 다음은 가장 일반적인 JDBC 오류 중 일부와 이를 해결하고 방지하는 방법입니다. ClassNotFoundException 이것은 가장 일반적인 JDBC입니다.

MySQL에서 JDBC 프로그래밍을 분석하는 방법 May 30, 2023 pm 10:19 PM

1. 데이터베이스 프로그래밍을 위한 전제 조건 Java, C, C++, Python 및 Oracle, MySQL, SQLServer와 같은 기타 데이터베이스 및 기타 데이터베이스 드라이버 패키지와 같은 프로그래밍 언어: 예를 들어 다양한 데이터베이스는 다양한 프로그래밍 언어에 해당하는 다양한 데이터베이스 드라이버 패키지를 제공합니다. : MySQL은 Java 기반으로 MySQL을 운영하는데 필요한 Java 드라이버 패키지 mysql-connector-java를 제공한다. 마찬가지로 Java 기반의 Oracle 데이터베이스를 운영하려면 Oracle의 데이터베이스 드라이버 패키지 ojdbc가 필요합니다. 2. 자바 데이터베이스 프로그래밍: JDBCJDBC, JavaDatabaseConnectiv

JDBC API를 사용하여 MySQL 데이터베이스에 연결하는 Java에서 발생하는 일반적인 문제 Jun 10, 2023 am 09:55 AM

최근 몇 년 동안 Java 언어가 점점 더 널리 사용되고 있으며 JDBCAPI는 Java 응용 프로그램이 데이터베이스와 상호 작용하는 창의적인 방법입니다. JDBC는 Java 응용 프로그램이 모든 데이터베이스에 연결할 수 있도록 하는 ODBC라는 개방형 데이터베이스 연결 표준을 기반으로 합니다. . 관리 시스템(DBMS). 그 중 MySQL은 널리 사용되는 데이터베이스 관리 시스템입니다. 그러나 개발자는 MySQL 데이터베이스에 연결할 때 몇 가지 일반적인 문제에 직면하게 됩니다. 이 기사는 JDBCAPI 연결 M을 소개하는 것을 목표로 합니다.

함수의 요새: PHP 함수 보안의 요새에 대한 심층 분석 Mar 02, 2024 pm 09:28 PM

PHP 함수는 다양한 작업을 수행하는 데 사용할 수 있는 강력한 도구입니다. 그러나 적절한 보안 조치가 없으면 공격 벡터가 될 수도 있습니다. 이 문서에서는 PHP 함수 보안의 중요성을 자세히 살펴보고 코드를 공격으로부터 안전하게 보호하기 위한 모범 사례를 제공합니다. 함수 주입 공격 함수 주입은 공격자가 함수 호출에 악성 코드를 주입하여 프로그램 흐름을 가로채는 공격 기술입니다. 이로 인해 공격자는 임의 코드를 실행하거나 민감한 데이터를 훔치거나 응용 프로그램을 완전히 손상시킬 수 있습니다. 데모 코드: //취약점 코드 functiongreet($name){return "Hello,$name!";}//악성 코드 삽입 $name="Bob";echo"Inject

Golang 서식 지정 자리 표시자 사용 팁 Mar 12, 2024 pm 03:24 PM

Golang 서식 지정 자리 표시자 사용 팁 Golang을 사용하여 문자열 형식을 지정하는 과정에서 자리 표시자 사용 기술을 익히는 것이 매우 중요합니다. 이 기사에서는 독자가 문자열 서식 지정 작업을 보다 유연하게 처리하는 데 도움이 되는 몇 가지 일반적으로 사용되는 서식 지정 자리 표시자와 샘플 코드를 소개합니다. Golang의 형식 지정 자리 표시자는 주로 %와 특정 문자로 구성되어 다양한 유형의 데이터 출력을 나타냅니다. 다음은 일반적으로 사용되는 서식 지정 자리 표시자와 해당 데이터 유형입니다. %v: 값 유형에 따른 기본 서식 지정

Hibernate 프레임워크와 JDBC의 차이점은 무엇입니까? Apr 17, 2024 am 10:33 AM

Hibernate와 JDBC의 차이점: 추상화 수준: Hibernate는 높은 수준의 객체 매핑과 쿼리 생성을 제공하는 반면 JDBC는 수동 코딩이 필요합니다. 객체 관계형 매핑: Hibernate는 Java 객체와 데이터베이스 테이블을 매핑하지만 JDBC는 이 기능을 제공하지 않습니다. 쿼리 생성: Hibernate는 쿼리 생성을 단순화하기 위해 HQL을 사용하는 반면, JDBC는 복잡한 SQL 쿼리 작성이 필요합니다. 트랜잭션 관리: Hibernate는 트랜잭션을 자동으로 관리하지만 JDBC는 수동 관리가 필요합니다.

See all articles

Java jdbc 물음표 자리 표시자가 주입 방지인 이유는 무엇입니까?

핫 AI 도구

Undresser.AI Undress

AI Clothes Remover

Undress AI Tool

Clothoff.io

Video Face Swap

인기 기사

뜨거운 도구

메모장++7.3.1

SublimeText3 중국어 버전

스튜디오 13.0.1 보내기

드림위버 CS6

SublimeText3 Mac 버전

뜨거운 주제