使用PreparedStatement防止SQL注入

    Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些.

PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.

 

SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.

对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构绕过验证,但这种手段只对Statement有效,对PreparedStatement无效.

 

如果有一条SQL语句: "SELECT * FROM test WHERE name = 'admin' ANDpassword = admin";

Statement的SQL语句是这样写的: ""SELECT * FROM testWHERE name = '" + name + "' AND password ='" + password + "'";

PreparedStatement的SQL语句是这样写的: "SELECT * FROM test WHERE name = ? and password = ?"; 然后对应?赋值

这样我们就发现输入用户名：'or'1=1'#，密码随意输

Statement是将这个和SQL语句做字符串连接到一起执行，变成了SELECT * FROM admin WHERE `name` = ''OR'1=1'# AND `password` ='admin'，而#后面的在MySQL中会被当做注释，所以这句话就是SELECT * FROM admin WHERE `name` = ''OR'1=1'，永远都能登陆成功。

PreparedStatement是将'or'1=1'# 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.

 

实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.

 

两个源代码：

运行时需建立名字为test1的数据库，里面有名字为test的表，表里面有name，password列，值分别为admin，admin。

 

一：Statement的SQL注入：

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.ResultSet;

import java.sql.Statement;

import java.util.Scanner;

 

public class Test {

         publicstatic void main(String[] args) throws Exception {

                   Scannerinput = new Scanner(System.in);

 

                   Class.forName("com.mysql.jdbc.Driver");

                   Connectionconn = DriverManager.getConnection(

                                     "jdbc:mysql://localhost:3306/test1","root", "root");

                   System.out.println("请输入用户名：");

                   Stringname = input.next();

                   //用户名：'or'1=1'#密码：随意

                   System.out.println("请输入密码：");

                   Stringpassword = input.next();

 

                   Statementstat = conn.createStatement();

                   Stringsql = "SELECT * FROM test WHERE name = '" + name

                                     + "' ANDpassword = '" + password + "'";

 

                   ResultSetrs = stat.executeQuery(sql);

                   if(rs.next()) {

                            System.out.println("登陆成功！");

                   }else {

                            System.out.println("登录失败！");

                   }

 

                   rs.close();

                   stat.close();

                   conn.close();

         }

}

二：PreparedStatement的防SQL注入

 

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.util.Scanner;

 

 

public class Test1 {

    public static void main(String[] args) throws Exception {

       Scanner input = new Scanner(System.in);

 

       Class.forName("com.mysql.jdbc.Driver");

       Connection conn = DriverManager.getConnection(

              "jdbc:mysql://localhost:3306/test1", "root", "root");

       System.out.println("请输入用户名：");

       String name = input.next();

      

       System.out.println("请输入密码：");

       String password = input.next();

       String sql = "SELECT *FROM test WHERE name = ? and password = ?";

       PreparedStatement stat = conn.prepareStatement(sql);

       stat.setString(1, name);

       stat.setString(2, password);

      

 

       ResultSet rs = stat.executeQuery();

       if (rs.next()) {

           System.out.println("登陆成功！");

       } else {

           System.out.println("登录失败！");

       }

 

       rs.close();

       stat.close();

       conn.close();

    }

}