那些遇到过的问题

准备好的语句会阻止sql注入攻击吗?

nib*_*012 5 java security sql-injection

考虑一个假设的情况,我必须根据userId从数据库中检索一些细节,下面给出了示例代码

private String getpassword(String username) {

PreparedStatement statement = null;
ResultSet resultSet = null;
Connection conn = null;

final String selectQuery = "SELECT password FROM " + "users WHERE username=?";
try {
    conn = dataSource.getConnection();
    statement = conn.prepareStatement(selectQuery);
    statement.setString(1, username);
    resultSet = statement.executeQuery();
    if (resultSet.next()) {
        }

} catch (SQLException e) {
 // log it
}
//return
}
Run Code Online (Sandbox Code Playgroud)

此用户名实际上来自客户端,用户可以篡改数据(如果他愿意).因此,preparedStatements将阻止接受引号并仅将过滤后的SQL形式发送到数据库.

例如:我可以提供username ='或1 = 1,它将是一个有效的SQL语句.但是如果驱动程序从用户输入中删除引号,那么它们将阻止sql注入.

对此一般的理解是什么?

Tho*_*mas 4

据此,是的:http: //en.wikipedia.org/wiki/SQL_injection

在这种情况下,该语句已经编译,并且注入的代码将不会再次被解释(因此不会被执行)。

归档时间:

查看次数:

1697 次

最近记录:

14 年,6 月 前
Java - 转义字符串以防止SQL注入 142
更多相关链接
相关归档
如何将Excel单元格中的数字字符串作为字符串(而非数字)读取? 137
如何从数组创建流? 127
连接数据库时Class.forName("oracle.jdbc.driver.OracleDriver")的实际用途是什么? 87
JVM堆参数 64
如何检查整数是否在给定范围内? 64
如何将Joda LocalDate转换为java.util.Date? 55
Java中的volatile int是否是线程安全的? 53
如何在Spring 3/Thymeleaf中显示带参数的本地化消息 45
有没有办法验证使用的客户端代码是服务器给出的代码? 4
Docker 信任初始化 4
难疑归档
C++中的" - >"运算符是什么? 8590
什么是"大O"符号的简单英语解释? 4851
你如何设置,清除和切换一个位? 2454
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
2048游戏的最佳算法是什么? 1893
我如何递归grep? 1619
在jQuery中创建div元素 1500
如何删除文本/输入框周围的边框(轮廓)?(铬) 1208
如何在JavaScript中创建二维数组? 1081
如何进行HTTP POST Web请求 1033