当前位置: 开发笔记 > 编程语言 > 正文

Java最新的SQL注入原因以及预防方案

作者：mobiledu2502908197 | 来源：互联网 | 2023-05-25 11:36

这篇文章主要讲解了“Java最新的SQL注入原因以及预防方案”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来

这篇文章主要讲解了“Java最新的SQL注入原因以及预防方案”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“Java最新的SQL注入原因以及预防方案”吧！

前沿

在现有的框架中sql防注入已经做得很好了，我们需要做的就是尽量不要使用sql拼接调用

java sql注入原因以及预防方案(易理解)

1. SQL注入

1.1 原理

SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中，从而执行恶意的SQL语句。

1.2 演示

1.2.1 案例1

有一个登录框，需要输入用户名和密码，然后我们的密码输入 &＃39;or &＃39;123&＃39; = &＃39;123 这样的。我们在查询用户名和密码是否正确的时候，本来执行的sql语句是：select * from user where username = &＃39;&＃39; and password = &＃39;&＃39;. 这样的sql语句，现在我们输入密码是如上这样的，然后我们会通过参数进行拼接，拼接后的sql语句就是：

select * from user where username = &＃39;&＃39; and password = &＃39; &＃39; or &＃39;123&＃39; = &＃39;123 &＃39;;这样的了，那么会有一个or语句，只要这两个有一个是正确的话，就条件成立，因此 123 = 123 是成立的。因此验证就会被跳过。这只是一个简单的例子，

1.2.2 案例2

密码比如是这样的：&＃39;; drop table user;, 这样的话，那么sql命令就变成了：

select * from user where username = &＃39;&＃39; and password = &＃39;&＃39;; drop table user;&＃39;, 那么这个时候我们会把user表直接删除了。

1.3 防范

1.3.1 前端

前端表单进行参数格式控制;

1.3.2 后端

我们可以使用预编译语句(PreparedStatement，这样的话即使我们使用sql语句伪造成参数，到了服务端的时候，这个伪造sql语句的参数也只是简单的字符，并不能起到攻击的作用。
使用正则表达式过滤传入的参数

注意: 永远也不要把未经检查的用户输入的值直接传给数据库

java中的验证字符串是否包含sql的判断

package cn.javanode.thread;  import java.util.regex.Pattern;  /**  * @author xgt(小光头)  * @version 1.0  * @date 2021-1-8 11:48  */ public class CheckSqlDemo {      /**正则表达式**/     private static String reg = "(?:&＃39;)|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"             + "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";       private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);      private static boolean isValid(String str) {         if (sqlPattern.matcher(str).find())         {             System.out.println("未能通过过滤器：str=" + str);             return false;         }         return true;     }      public static void main(String[] args) {         System.out.println(isValid("tongji_user_add"));     }  }

补充

PreparedStatement是如何防止SQL注入的?

1. 拼接参数(sql注入)

Connection connection = DriverManager.getConnection(DB_URL, USER, PASS);         PreparedStatement preparedStatement = connection.prepareStatement(sql);                 String param = "&＃39;test&＃39; or 1=1";         String sql = "select file from file where name = " + param; // 拼接SQL参数         ResultSet resultSet = preparedStatement.executeQuery();         System.out.println(resultSet.next());

输出结果为 true ，DB中执行的SQL为

-- 永真条件1=1成为了查询条件的一部分，可以返回所有数据，造成了SQL注入问题 select file from file where name = &＃39;test&＃39; or 1=1

2. setString (防注入)

Connection connection = DriverManager.getConnection(DB_URL, USER, PASS);         PreparedStatement preparedStatement = connection.prepareStatement(sql);             preparedStatement.setString(1,account);//设置参数         preparedStatement.setString(2,password);         ResultSet resultSet = preparedStatement.executeQuery();//执行查询sql，获取结果集

输出结果为 false ，DB中执行的SQL为

select file from file where name = &＃39;\&＃39;test\&＃39; or 1=1&＃39;

我们可以看到输出的 SQL是把整个参数用引号包起来，并把参数中的引号作为转义字符，从而避免了参数也作为条件的一部分

3. 源码分析

结论

preparedStatement.setString 会判断当前参数的符号是否需要转义，是的话加的转义符
如果不需要，则直接加上引号

Java最新的SQL注入原因以及预防方案

//完整代码 public void setString(int parameterIndex, String x) throws SQLException {        synchronized (checkClosed().getConnectionMutex()) {            // if the passed string is null, then set this column to null            if (x == null) {                setNull(parameterIndex, Types.CHAR);            } else {                checkClosed();                 int stringLength = x.length();                 if (this.connection.isNoBackslashEscapesSet()) {                    // Scan for any nasty chars                    // 判断是否需要转义                    boolean needsHexEscape = isEscapeNeededForString(x, stringLength);                     if (!needsHexEscape) {                        byte[] parameterAsBytes = null;                         StringBuilder quotedString = new StringBuilder(x.length() + 2);                        quotedString.append(&＃39;\&＃39;&＃39;);                        quotedString.append(x);                        quotedString.append(&＃39;\&＃39;&＃39;);                         if (!this.isLoadDataQuery) {                            parameterAsBytes = StringUtils.getBytes(quotedString.toString(), this.charConverter, this.charEncoding,                                    this.connection.getServerCharset(), this.connection.parserKnowsUnicode(), getExceptionInterceptor());                        } else {                            // Send with platform character encoding                            parameterAsBytes = StringUtils.getBytes(quotedString.toString());                        }                         setInternal(parameterIndex, parameterAsBytes);                    } else {                        byte[] parameterAsBytes = null;                         if (!this.isLoadDataQuery) {                            parameterAsBytes = StringUtils.getBytes(x, this.charConverter, this.charEncoding, this.connection.getServerCharset(),                                    this.connection.parserKnowsUnicode(), getExceptionInterceptor());                        } else {                            // Send with platform character encoding                            parameterAsBytes = StringUtils.getBytes(x);                        }                         setBytes(parameterIndex, parameterAsBytes);                    }                     return;                }

感谢各位的阅读，以上就是“Java最新的SQL注入原因以及预防方案”的内容了，经过本文的学习后，相信大家对Java最新的SQL注入原因以及预防方案这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是编程笔记，小编将为大家推送更多相关知识点的文章，欢迎关注！

推荐阅读

regex
如何在有序字符序列中插入新字符并保持有序

本文介绍了如何在给定的有序字符序列中插入新字符，并保持序列的有序性。通过示例代码演示了插入过程，以及插入后的字符序列。 ... [详细]

蜡笔小新 2023-12-14 11:16:33
io
[大整数乘法] java代码实现

本文介绍了使用java代码实现大整数乘法的过程，同时也涉及到大整数加法和大整数减法的计算方法。通过分治算法来提高计算效率，并对算法的时间复杂度进行了研究。详细代码实现请参考文章链接。 ... [详细]

蜡笔小新 2023-12-13 11:21:32
io
正则表达式及其范例

为什么80%的码农都做不了架构师？一、前言部分控制台输入的字符串，编译成java字符串之后才送进内存，比如控制台打\， ... [详细]

蜡笔小新 2023-10-17 20:18:36
io
Java太阳系小游戏分析和源码详解

本文介绍了一个基于Java的太阳系小游戏的分析和源码详解。通过对面向对象的知识的学习和实践，作者实现了太阳系各行星绕太阳转的效果。文章详细介绍了游戏的设计思路和源码结构，包括工具类、常量、图片加载、面板等。通过这个小游戏的制作，读者可以巩固和应用所学的知识，如类的继承、方法的重载与重写、多态和封装等。 ... [详细]

蜡笔小新 2023-12-14 19:53:34
substring
Java String与StringBuffer的区别及其应用场景

本文主要介绍了Java中String和StringBuffer的区别，String是不可变的，而StringBuffer是可变的。StringBuffer在进行字符串处理时不生成新的对象，内存使用上要优于String类。因此，在需要频繁对字符串进行修改的情况下，使用StringBuffer更加适合。同时，文章还介绍了String和StringBuffer的应用场景。 ... [详细]

蜡笔小新 2023-12-13 19:21:06
io
Android源码深入理解JNI技术的概述和应用

本文介绍了Android源码中的JNI技术，包括概述和应用。JNI是Java Native Interface的缩写，是一种技术，可以实现Java程序调用Native语言写的函数，以及Native程序调用Java层的函数。在Android平台上，JNI充当了连接Java世界和Native世界的桥梁。本文通过分析Android源码中的相关文件和位置，深入探讨了JNI技术在Android开发中的重要性和应用场景。 ... [详细]

蜡笔小新 2023-12-13 10:00:57
tags
Golang条件编译的必要性及实现方法

本文介绍了在多平台下进行条件编译的必要性，以及具体的实现方法。通过示例代码展示了如何使用条件编译来实现不同平台的功能。最后总结了只要接口相同，不同平台下的编译运行结果也会相同。 ... [详细]

蜡笔小新 2023-12-13 09:38:06
object
Java中包装类的设计原因以及操作方法

本文主要介绍了Java中设计包装类的原因以及操作方法。在Java中，除了对象类型，还有八大基本类型，为了将基本类型转换成对象，Java引入了包装类。文章通过介绍包装类的定义和实现，解答了为什么需要包装类的问题，并提供了简单易用的操作方法。通过本文的学习，读者可以更好地理解和应用Java中的包装类。 ... [详细]

蜡笔小新 2023-12-12 15:48:10
object
Java自带的观察者模式及实现方法详解

本文介绍了Java自带的观察者模式，包括Observer和Observable对象的定义和使用方法。通过添加观察者和设置内部标志位，当被观察者中的事件发生变化时，通知观察者对象并执行相应的操作。实现观察者模式非常简单，只需继承Observable类和实现Observer接口即可。详情请参考Java官方api文档。 ... [详细]

蜡笔小新 2023-12-12 13:52:38
object
java 数组基础知识_java数组基础知识

数组的排序：数组本身有Arrays类中的sort()方法,这里写几种常见的排序方法。(1)冒泡排序法publicstaticvoidmain(String[]args ... [详细]

蜡笔小新 2023-12-11 21:29:03
object
面向对象之3：封装的总结及实现方法

本文总结了面向对象中封装的概念和好处，以及在Java中如何实现封装。封装是将过程和数据用一个外壳隐藏起来，只能通过提供的接口进行访问。适当的封装可以提高程序的理解性和维护性，增强程序的安全性。在Java中，封装可以通过将属性私有化并使用权限修饰符来实现，同时可以通过方法来访问属性并加入限制条件。 ... [详细]

蜡笔小新 2023-12-11 21:14:42
io
（三）多表代码生成的实现方法

本文介绍了一种实现多表代码生成的方法，使用了java代码和org.jeecg框架中的相关类和接口。通过设置主表配置，可以生成父子表的数据模型。 ... [详细]

蜡笔小新 2023-12-11 19:46:13
match
Java中检查字符串是否仅包含数字的方法及示例代码

本文介绍了在Java中检查字符串是否仅包含数字的方法，包括使用正则表达式的示例代码，并提供了测试案例进行验证。同时还解释了Java中的字符转义序列的使用。 ... [详细]

蜡笔小新 2023-12-10 12:58:56
function
查找给定字符串的所有不同回文子字符串

查找给定字符串的所有不同回文子字符串原文:https://www ... [详细]

蜡笔小新 2023-10-17 19:11:18
io
java io换行符_Java IO：为什么从stdin读取时,换行符的数字表示出现在控制台上？...

只是为了更好地理解我在讲座中听到的内容(关于Java输入和输出流),我自己做了这个小程序：publicstaticvoidmain(String[]args)thro ... [详细]

蜡笔小新 2023-10-17 16:15:33

mobiledu2502908197

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章