1、第一步:sql注入产生原因。
1、说起sql注入就要说一下java与数据库连接的问题那就是java.sql.Statement对象;
2、java.sql.Statement对象执行的是拼接的sql也就是说它直接执行sql。此时当你传入的参数是一个sql语句的时候就会造成sql操作安全问题。
如下图:不管入参是什么它都会将其当做一个语句执行
3、也是用户web前台输入的参数未限制。
2、第二步:创建表和自段。
1、创建一个库如果已经存放用已有的也可以
2、创建一个表test字段如下图所示;
3、第三步:问题演示。
1、创建一个javaweb工程。
2、引入mysql数据库驱动包
3、编写代码
3.1编写数据库连接
3.2 编写测试代码(使用更新删除或者其它注入危害为更大,如在后面拼接一条删除语句)
public static void testStatement(){
String name = "'zhan' or 1=1";
String sql = "select * from test where name = "+name;
Connection conn = getConnection();
try {
st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
while(rs.next()){
System.out.println("id:"+rs.getString("id")+" name:"+rs.getString("name")+" age"+rs.getString("age")+" sex:"+rs.getString("name"));
}
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
3.3 main方法调用查询
4、第三步:使用PreparedStatement。
1、总结第一次出现本不应该查出数据却获得所有数据的原因是Statement对象会将整个sql当作原生语句执行它没有区分变量和sql的能力。
2、借助于java.sql.PreparedStatement填充变量,其会将变量当做值去执行sql,而不会将其当做sql执行,并且有预编译功能查询效率更高。
public static void testPreparedStatement(){
String name = "'zhan' or 1=1";
String sql = "select * from test where name = ?";
Connection conn = getConnection();
try {
pst = conn.prepareStatement(sql);
pst.setObject(1, name);
ResultSet rs = pst.executeQuery();
while(rs.next()){
System.out.println("id:"+rs.getString("id")+" name:"+rs.getString("name")+" age"+rs.getString("age")+" sex:"+rs.getString("name"));
}
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
3、执行测试,查询结果为空
5、第三步:查询之前校验数据。
1、web前端使用js的正则表达式在前台文本中做输入校验
2、在java后台做输入校验,如使用过滤器统一校验。或者自己单独在controller中校验。
