共计 2343 个字符,预计需要花费 6 分钟才能阅读完成。
一、什么是 SQL 攻击
在需要用户输入的地方,用户输入的是 SQL 语句的片段,最终用户输入的 SQL 片段与我们 DAO 中写的 SQL 语句合成一个完整的 SQL 语句!例如用户在登录时输入的用户名和密码都是为 SQL 语句的片段!
二、演示 SQL 攻击
首先我们需要创建一张用户表,用来存储用户的信息。
CREATE TABLE user(uid CHAR(32) PRIMARY KEY,
username VARCHAR(30) UNIQUE KEY NOT NULL,
PASSWORD VARCHAR(30)
);
INSERT INTO user VALUES('U_1001', 'zs', 'zs');
SELECT * FROM user;
现在用户表中只有一行记录,就是 zs。
下面我们写一个 login()方法!
public void login(String username, String password) {Connection con = null;
Statement stmt = null;
ResultSet rs = null;
try {con = JdbcUtils.getConnection();
stmt = con.createStatement();
String sql = "SELECT * FROM user WHERE" +
"username='" + username +
"'and password='" + password + "'";
rs = stmt.executeQuery(sql);
if(rs.next()) {System.out.println("欢迎" + rs.getString("username"));
} else {System.out.println("用户名或密码错误!");
}
} catch (Exception e) {throw new RuntimeException(e);
} finally {JdbcUtils.close(con, stmt, rs);
}
}
下面是调用这个方法的代码:
login("a' or 'a'='a", "a' or 'a'='a");
这行当前会使我们登录成功!因为是输入的用户名和密码是 SQL 语句片段,最终与我们的 login()方法中的 SQL 语句组合在一起!我们来看看组合在一起的 SQL 语句:
SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'
三、防止 SQL 攻击
-
过滤用户输入的数据中是否包含非法字符;
-
分步交验!先使用用户名来查询用户,如果查找到了,再比较密码;
-
使用 PreparedStatement。
四、PreparedStatement 是什么?
PreparedStatement 叫预编译声明!
PreparedStatement 是 Statement 的子接口,你可以使用 PreparedStatement 来替换 Statement。
PreparedStatement 的好处:
防止 SQL 攻击;
提高代码的可读性,以可维护性;
提高效率
预处理的原理
服务器的工作:
校验 sql 语句的语法!
编译:一个与函数相似的东西!
执行:调用函数
PreparedStatement:
前提:连接的数据库必须支持预处理!几乎没有不支持的!
每个 pstmt 都与一个 sql 模板绑定在一起,先把 sql 模板给数据库,数据库先进行校验,再进行编译。执行时只是把参数传递过去而已!
若二次执行时,就不用再次校验语法,也不用再次编译!直接执行!
五、PreparedStatement 的使用
-
给出 SQL 模板!
-
调用 Connection 的 PreparedStatement prepareStatement(String sql 模板);
-
调用 pstmt 的 setXxx()系列方法 sql 模板中的? 赋值!
-
调用 pstmt 的 executeUpdate()或 executeQuery(),但它的方法都没有参数。
String sql =“select * from tab_student where s_number=?”;
PreparedStatement pstmt = con.prepareStatement(sql);
pstmt.setString(1,“S_1001”);
ResultSet rs = pstmt.executeQuery();
rs.close();
pstmt.clearParameters();
pstmt.setString(1,“S_1002”);
rs = pstmt.executeQuery();
在使用 Connection 创建 PreparedStatement 对象时需要给出一个 SQL 模板,所谓 SQL 模板就是有“?”的 SQL 语句,其中“?”就是参数。
在得到 PreparedStatement 对象后,调用它的 setXXX()方法为“?”赋值,这样就可以得到把模板变成一条完整的 SQL 语句,然后再调用 PreparedStatement 对象的 executeQuery()方法获取 ResultSet 对象。
注意 PreparedStatement 对象独有的 executeQuery()方法是没有参数的,而 Statement 的 executeQuery()是需要参数(SQL 语句)的 。因为在创建 PreparedStatement 对象时已经让它与一条 SQL 模板绑定在一起了,所以在调用它的 executeQuery() 和 executeUpdate()方法时就不再需要参数了。
PreparedStatement 最大的好处就是在于重复使用同一模板,给予其不同的参数来重复的使用它。这才是真正提高效率的原因。
所以,建议大家在今后的开发中,无论什么情况,都去使用 PreparedStatement,而不是使用 Statement。
