preparedStatement是否可以避免SQL注入？

Question

我已阅读并尝试将易受攻击的 SQL 查询注入到我的应用程序中。还不够安全。我只是使用语句连接进行数据库验证和其他插入操作。

准备好的语句安全吗？而且这个说法也会有问题吗？

Answer 1

使用字符串连接从任意输入构建查询不会使 PreparedStatement 安全。看一下这个例子：

preparedStatement = "SELECT * FROM users WHERE name = '" + userName + "';";

如果有人输入

' or '1'='1

userName，你的 PreparedStatement 将很容易受到 SQL 注入攻击，因为该查询将在数据库上执行

SELECT * FROM users WHERE name = '' OR '1'='1';

，所以，如果你使用

preparedStatement = "SELECT * FROM users WHERE name = ?";
preparedStatement.setString(1, userName);

你会安全的。

部分代码取自这篇维基百科文章。

Answer 2

如果使用得当，准备好的语句确实可以防止 SQL 注入。但请针对您的问题发布一个代码示例，以便我们可以查看您是否正确使用它。

Answer 3

仅仅使用 PreparedStatement 并不能保证您的安全。您必须在 SQL 查询中使用参数，这可以通过 PreparedStatement 实现。请参阅此处了解更多信息。

Answer 4

PreparedStatement如果您仍在连接字符串，那么单独使用 并不能帮助您。

例如，一名恶意攻击者仍然可以执行以下操作：

• 调用睡眠函数，以便所有数据库连接都将繁忙，从而使您的应用程序无法
• 从数据库中提取敏感数据
• 绕过用户身份验证

受影响的不仅仅是 SQL。如果不使用绑定参数，甚至 JPQL 也可能受到损害。

最重要的是，在构建 SQL 语句时绝对不应该使用字符串连接。为此目的使用专用 API：

• JPA Criteria API
• jOOQ