JDBC驱动程序为准备好的语句转义参数?
JDBC驱动程序为准备好的语句转义参数?
提问于 2014-03-21 21:17:08
作为参数传递给准备语句的变量将由JDBC驱动程序自动转义。
我理解准备好的语句如何将要作为参数内容处理的用户输入分开,而不是作为SQL命令的一部分处理。但我无意中发现了上面引用的句子,我想知道逃逸是怎么回事。这如何帮助防止注射攻击?
回答 1
Stack Overflow用户
发布于 2014-03-21 21:26:16
假设你的陈述是
"select * from foo where name = '" + name + "'";现在,如果name变量恰好是O‘’Reilly,您将得到以下SQL查询,该查询无效:
select * from foo where name = 'O'Reilly'使用准备好的语句代替:
"select * from foo where name = ?"然后驱动程序将参数正确绑定为字符串,O‘’Reilly中的单引号不会被解释为在'O处启动的字符串的结尾。
在这种简单的情况下,不使用预先准备好的语句将“只”导致应用程序中的异常。但如果有人用这样的名字
' or 1 = 1 or name <> '查询将变成
select * from foo where name = '' or 1 = 1 or name <> ''因此,查询将加载表的每一行。这就是SQL注入的意义所在。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/22569694
复制相关文章
相似问题
腾讯云开发者
