为什么java jdbc问号占位符可以防注入?
本篇文章给大家带来的内容是介绍为什么java jdbc问号占位符可以防注入?有一定的参考价值,有需要的朋友可以参考一下,希望对你们有所帮助。
最近几天探讨一下关于sql注入的问题,以前林老师也讲过,现在总结一下:
其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。
建议使用instr()函数,本文主要记录一下处理防止注入的源码,为什么用?可以防注入,而拼接的sql可以注入。
先看下面用占位符来查询的一句话
String sql = "select * from administrator where adminname=?"; psm = con.prepareStatement(sql);
String s_name ="zhangsan' or '1'='1"; psm.setString(1, s_name);
假设数据库表中并没有zhangsan这个用户名,用plsql运行sql语句,可以查出来所有的用户名,但是在Java中并没有查出任何数据,这是为什么呢?
首先,setString()的源码中只有方法名字,并没有任何过程性处理。
那么答案肯定出现在Java到数据库这个过程中,也就是mysql和oracle驱动包中,在mysql驱动包中,PreparedStatement继承并实现了jdk中的setString方法,翻看一下源码,主要是做了转义处理。
也就是原因在于数据库厂商帮你解决了这个问题,下面就看看这个方法的具体实现:
public void setString(int parameterIndex, String x)
throws SQLException {
if(x == null) {
setNull(parameterIndex, 1);
} else {
checkClosed();
int stringLength = x.length();
if(connection.isNoBackslashEscapesSet()) {
boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
if(!needsHexEscape) {
byte parameterAsBytes[] = null;
StringBuffer quotedString = new StringBuffer(x.length() + 2);
quotedString.append('\'');
quotedString.append(x);
quotedString.append('\'');
if(!isLoadDataQuery)
parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
else
parameterAsBytes = quotedString.toString().getBytes();
setInternal(parameterIndex, parameterAsBytes);
} else {
byte parameterAsBytes[] = null;
if(!isLoadDataQuery)
parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
else
parameterAsBytes = x.getBytes();
setBytes(parameterIndex, parameterAsBytes);
}
return;
}
String parameterAsString = x;
boolean needsQuoted = true;
if(isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
needsQuoted = false;
StringBuffer buf = new StringBuffer((int)((double) x.length() * 1.1000000000000001 D));
buf.append('\'');
for(int i = 0; i < stringLength; i++) {
char c = x.charAt(i);
switch(c) {
case 0: // '\0'
buf.append('\\');
buf.append('0');
break;
case 10: // '\n'
buf.append('\\');
buf.append('n');
break;
case 13: // '\r'
buf.append('\\');
buf.append('r');
break;
case 92: // '\\'
buf.append('\\');
buf.append('\\');
break;
case 39: // '\''
buf.append('\\');
buf.append('\'');
break;
case 34: // '"'
if(usingAnsiMode)
buf.append('\\');
buf.append('"');
break;
case 26: // '\032'
buf.append('\\');
buf.append('Z');
break;
default:
buf.append(c);
break;
}
}
buf.append('\'');
parameterAsString = buf.toString();
}
byte parameterAsBytes[] = null;
if(!isLoadDataQuery) {
if(needsQuoted)
parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
else
parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
} else {
parameterAsBytes = parameterAsString.getBytes();
}
setInternal(parameterIndex, parameterAsBytes);
parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;
}
}总结:以上就是本篇文的全部内容,希望能对大家的学习有所帮助。更多相关教程请访问Java视频教程,java开发图文教程,bootstrap视频教程!
以上是为什么java jdbc问号占位符可以防注入?的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
Java8(291)之后禁用了TLS1.1使JDBC无法用SSL连接SqlServer2008怎么解决
May 16, 2023 pm 11:55 PM
Java8-291之后,禁用了TLS1.1,使JDBC无法用SSL连接SqlServer2008怎么办,以下是解决办法修改java.security文件1.找到jre的java.security文件如果是jre,在{JAVA_HOME}/jre/lib/security中,比如????C:\ProgramFiles\Java\jre1.8.0_301\lib\security如果是Eclipse绿色免安装便携版在安装文件夹搜索java.security,比如????xxx\plugins\org
Java如何实现JDBC批量插入
May 18, 2023 am 10:02 AM
一、说明在JDBC中,executeBatch这个方法可以将多条dml语句批量执行,效率比单条执行executeUpdate高很多,这是什么原理呢?在mysql和oracle中又是如何实现批量执行的呢?本文将给大家介绍这背后的原理。二、实验介绍本实验将通过以下三步进行a.记录jdbc在mysql中批量执行和单条执行的耗时b.记录jdbc在oracle中批量执行和单条执行的耗时c.记录oracleplsql批量执行和单条执行的耗时相关java和数据库版本如下:Java17,Mysql8,Oracl
Java错误:JDBC错误,如何解决和避免
Jun 24, 2023 pm 02:40 PM
随着Java的广泛应用,Java程序在连接数据库时经常会出现JDBC错误。JDBC(JavaDatabaseConnectivity)是Java中用于连接数据库的编程接口,因此,JDBC错误是在Java程序与数据库交互时遇到的一种错误。下面将介绍一些最常见的JDBC错误及如何解决和避免它们。ClassNotFoundException这是最常见的JDBC
MySQL中的JDBC编程该如何分析
May 30, 2023 pm 10:19 PM
一、数据库编程的必备条件编程语言,如Java,C、C++、Python等数据库,如Oracle,MySQL,SQLServer等数据库驱动包:不同的数据库,对应不同的编程语言提供了不同的数据库驱动包,如:MySQL提供了Java的驱动包mysql-connector-java,需要基于Java操作MySQL即需要该驱动包。同样的,要基于Java操作Oracle数据库则需要Oracle的数据库驱动包ojdbc。二、Java的数据库编程:JDBCJDBC,即JavaDatabaseConnectiv
Java使用JDBC API连接MySQL数据库遇到的常见问题
Jun 10, 2023 am 09:55 AM
近年来,Java语言的应用越来越广泛,而JDBCAPI是Java应用程序中与数据库交互的一种创造性方法,JDBC基于一种名为ODBC的开放数据库连接标准,使得Java应用程序能够连入任何数据库管理系统(DBMS)。其中,MySQL更是一款备受青睐的数据库管理系统。然而,连接MySQL数据库时,开发人员也会遇到一些常见问题,本文旨在介绍JDBCAPI连接M
函数的堡垒:深入 PHP 函数安全性的堡垒
Mar 02, 2024 pm 09:28 PM
PHP函数是强大的工具,可用于执行各种任务。但是,如果没有适当的安全性措施,它们也可能成为攻击媒介。本文深入探讨php函数安全性的重要性,并提供最佳实践,以确保您的代码免受攻击。函数注入攻击函数注入是一种攻击技术,其中攻击者通过向函数调用中注入恶意代码来劫持程序流程。这可能允许攻击者执行任意代码、窃取敏感数据或完全破坏应用程序。演示代码://漏洞代码functiongreet($name){return"Hello,$name!";}//注入恶意代码$name="Bob";echo"Inject
Golang格式化占位符使用技巧
Mar 12, 2024 pm 03:24 PM
Golang格式化占位符使用技巧在使用Golang进行字符串格式化的过程中,掌握好占位符的使用技巧是非常重要的。本文将介绍一些常用的格式化占位符以及示例代码,帮助读者更加灵活地处理字符串格式化任务。Golang中的格式化占位符主要由%后面跟上特定的字母组成,表示输出不同类型的数据。以下是一些常用的格式化占位符及其对应的数据类型:%v:默认格式化,根据值的类型
Hibernate 框架与 JDBC 的区别是什么?
Apr 17, 2024 am 10:33 AM
Hibernate与JDBC的区别:抽象级别:Hibernate提供高级对象映射和查询生成,而JDBC需要手动编写代码。对象-关系映射:Hibernate映射Java对象和数据库表,而JDBC不提供此功能。查询生成:Hibernate使用HQL简化查询生成,而JDBC需要编写复杂的SQL查询。事务管理:Hibernate自动管理事务,而JDBC需要手动管理。
