使用preparedStatement是否意味着不会有任何SQL注入？

Question

我读过，为了防止 SQL 注入，必须使用PreparedStatement。
这是否意味着如果我使用 perparedStatement 那么没有人可以在我的任何页面中执行 SQL 注入？它能万无一失地抵御 SQL 注入吗？如果没有，请举一些例子来证明这一点。

Answer 1

尽管预准备语句有助于防御 SQL 注入，但仍存在通过不当使用预准备语句而遭受 SQL 注入攻击的可能性。

下面的示例解释了这样一种场景，其中输入变量直接传递到准备好的语句中，从而为 SQL 注入攻击铺平了道路。

String strUserName = request.getParameter("Txt_UserName"); 
PreparedStatement prepStmt = con.prepareStatement("SELECT * FROM user WHERE userId = '+strUserName+'");

如果处理不当，准备好的语句可能容易受到 SQL 注入的攻击。<​​/strong>

Answer 2

简短的回答：是的，如果使用得当的话。

然而，这并不意味着 JDBC 驱动程序中不会存在可用于 SQL 注入的错误。当我为我工作的公司调查这个问题时，我发现我们使用的 JDBC 驱动程序之一（PostgreSQL）确实存在 SQL 注入错误。这是几年前的事了，这个错误已经修复了。

虽然我不记得具体细节，但我记得查看过 JDBC 实现的源代码，发现它是通过字符串连接实现的。

不过，我预计这种情况很少见，我的建议是相信实现并正确使用PreparedStatements。

Answer 3

只要您实际上使用准备好的语句的参数替换功能（有可能误用它们而不使用该功能），并且假设您正在使用的准备好的语句库中没有错误，那么您应该可以很好地抵御原始 SQL 注入。但这并不意味着您不应该怀疑用户提供给您的任何内容。 :-)

Answer 4

准备好的语句不涵盖查询的非数据部分 - 标识符和运算符。
因此，如果其中一些是可变的并且直接添加到查询中，则注入是可能的。

由于可能的选项数量有限，所有变量标识符都应根据用户输入从预先编写的变体中选择。对于运营商来说也是如此。
不应将用户输入直接添加到查询中。

Answer 5

使用所提供语言的预准备语句功能意味着您正在使用经过尝试和测试的解决方案来解决该问题 - 这并不意味着永远不存在任何错误或 SQL 注入可能性的范围，但它的真正含义是您并不是唯一使用该实现的人。使用相同实现的人越多，意味着发现和消除错误的机会就越多 - 如果您使用自己的实现，那么只有您可以找到并修复错误。