那些遇到过的问题

preparedStatement是否避免SQL注入?

Moh*_*igh 34 java sql-injection jdbc prepared-statement

我已阅读并尝试将易受攻击的SQL查询注入我的应用程序.这不够安全.我只是使用Statement Connection进行数据库验证和其他插入操作.

preparedStatements安全吗?而且这个陈述也会有问题吗?

dar*_*ioo 55

使用字符串连接从任意输入构造查询将PreparedStatement不安全.看看这个例子:

preparedStatement = "SELECT * FROM users WHERE name = '" + userName + "';";
Run Code Online (Sandbox Code Playgroud)

如果有人提出

' or '1'='1
Run Code Online (Sandbox Code Playgroud)

因为userName,您PreparedStatement将容易受到SQL注入,因为该查询将在数据库上执行

SELECT * FROM users WHERE name = '' OR '1'='1';
Run Code Online (Sandbox Code Playgroud)

所以,如果你使用

preparedStatement = "SELECT * FROM users WHERE name = ?";
preparedStatement.setString(1, userName);
Run Code Online (Sandbox Code Playgroud)

你会安全的.

这些代码中的一部分取自本维基百科的文章.

  • @Mohamed:它有所作为.查询"SELECT*FROM users WHERE name =?"`将被发送到编译它的数据库,然后`setString`中的`userName`将被替换.如果数据库看到非法值,则会引发错误.因此,`'或'1'='1`将被视为一个完整的字符串,而不是作为涉及运算符`或`和`=`的语句.数据库将其视为一个值为""或"1"="1"的字符串. (16认同)
  • setString有什么区别吗?实际上它做了什么?甚至那将取代现场的字符串.它有什么不同? (8认同)

归档时间:

查看次数:

26184 次

最近记录:

7 年,11 月 前
PreparedStatement如何避免或阻止SQL注入? 111
PreparedStatement如何避免或阻止SQL注入? 111
更多相关链接
相关归档
无法在Ubuntu中安装Android Studio 160
将文本中心与android对齐 141
在指定的索引处将对象添加到ArrayList 133
在GAE上解析完全有效的XML时,"prolog中不允许使用内容" 93
即时编译和堆栈替换之间的差异 43
密钥库中的多个证书,用于Mysql SSL客户端身份验证和基于SSL的JMX设置 10
Cassandra nodejs DataStax驱动程序不会通过预处理语句执行返回新添加的列 4
ORA-00933 SQL 命令没有正确结束但在 SQL Developer 中很好 4
如何配置DBCP PoolableConnectionFactory? 3
防止SQL注入攻击:mySql和SQL Server 2008之间的差异 1
难疑归档
为什么Android模拟器这么慢?我们如何加快Android模拟器的速度? 3356
将现有的,未提交的工作移动到Git中的新分支 2982
如何动态合并两个JavaScript对象的属性? 2338
如何使div不大于其内容? 1960
垂直对齐图像旁边的文字? 1881
PHP中的startsWith()和endsWith()函数 1409
varchar和nvarchar有什么区别? 1300
Android Studio中的Gradle是什么? 1257
如何将div的内容与底部对齐? 1098
自定义HTTP标头:命名约定 1051