一尘不染

JavaPreparedStatement如何避免或阻止SQL注入?

java

我知道PreparedStatements避免/防止SQL注入。它是如何做到的?使用PreparedStatements构造的最终表单查询是否为字符串?


阅读 588

收藏
2020-02-29

共2个答案

一尘不染

SQL注入的问题在于,用户输入被用作SQL语句的一部分。通过使用准备好的语句,您可以强制将用户输入作为参数的内容(而不是SQL命令的一部分)进行处理。

但是,如果您不使用用户输入作为已准备好的语句的参数,而是通过将字符串连接在一起来构建SQL命令,那么即使使用已准备好的语句,您仍然容易受到SQL注入的攻击。

2020-02-29
一尘不染

考虑做同一件事的两种方法:

PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();

要么

PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();

如果“用户”来自用户输入,并且用户输入为

Robert'); DROP TABLE students; --

然后在第一个实例中,您将被迫接管。第二,为了安全起见,Little Bobby Tables将为您的学校注册。

2020-02-29