本人微信公眾號，歡迎掃碼關注！

使用jdbc拼接條件查詢語句時如何防止sql注入

• 最近公司的項目在上線時需要進行安全掃描，但是有幾個項目中含有部分老代碼，操作數據庫時使用的是jdbc，并且竟然好多都是拼接的SQL語句，真是令人抓狂。
• 在具體改造時，必須使用PreparedStatement來防止SQL注入，普通SQL語句比較容易改造，本重點探討在拼接查詢條件的時候如何方式SQL注入，具體思路請參考下面的示例代碼。

1 數據庫示例數據

2 使用statement（不防止SQL注入）

2.1 示例代碼

@Test
public void statementTest() {
    String username = "tom";
    String sex = "1";
    String address = "' or '1'='1";
    Statement stat = null;
    ResultSet res = null;

    Connection conn = ConnectionFactory.getConnection();
    String sql = "SELECT * FROM user WHERE 1 = 1";

    sql += username == null ? "" : " AND username = '" + username + "'";
    sql += sex == null ? "" : " AND sex = '" + sex + "'";
    sql += address == null ? "" : " AND address = '" + address + "'";

    System.out.println(sql);

    try {
        stat = conn.createStatement();
        res = stat.executeQuery(sql);
        printRes(res);
    } catch (SQLException e) {
        e.printStackTrace();
    } finally {
        ResourceClose.close(res, stat, conn);
    }
}

2.2 控制臺結果

SELECT * FROM user WHERE 1 = 1 AND username = 'tom' AND sex = '1' AND address = '' or '1'='1'
10 tom 2014-07-10 1 beijing 
16 tom 2018-07-31 1 shanghai 
22 tom 2019-04-16 2 shanghai 
24 tom 2019-06-22 1 guangzhou 
25 tom 2019-01-22 2 guangzhou 
28 tom 2018-07-31 1 shenzhen 

2.3 小結

• 經過上面的示例代碼我們可以發現，單純拼接SQL語句是非常危險的，特別容易被SQL注入，但是如果使用prepareStatement的話，像這種條件查詢我們預先并不能確定到底有多少個？（占位符），也就不能使用按照？（占位符）索引去設置參數了，那怎么辦呢？
• 別擔心，此時我們使用一個小小的技巧，具體參考下面的示例代碼

3 使用prepareStatement（可以防止SQL注入）

3.1 示例代碼

@Test
public void prepareStatementTest() {
    String username = "tom";
    String sex = null;
    String address = "' or '1'='1";
    PreparedStatement stat = null;
    ResultSet res = null;

    Connection conn = ConnectionFactory.getConnection();
    String sql = "SELECT * FROM user WHERE 1 = 1";

    List<Object> param = new ArrayList<>();

    if (username != null) {
        sql += " AND username = ?";
        param.add(username);
    }
    if (sex != null) {
        sql += " AND sex = ?";
        param.add(sex);
    }
    if (address != null) {
        sql += " AND address = ?";
        param.add(address);
    }
    System.out.println(sql);

    try {
        stat = conn.prepareStatement(sql);
        for (int i = 0; i < param.size(); i++) {
            stat.setObject(i+1,param.get(i));
        }
        res = stat.executeQuery();
        printRes(res);
    } catch (SQLException e) {
        e.printStackTrace();
    } finally {
        ResourceClose.close(res, stat, conn);
    }
}

3.2 控制臺結果

SELECT * FROM user WHERE 1 = 1 AND username = ? AND address = ?

3.3 小結

• 可以看出，使用prepareStatement是可以防止SQL注入的。
• 但進行類似條件拼接這種操作時，可以先把參數放入一個集合中，然后遍歷集合，同時利用setObject(index,obj)這個方法就可以動態的獲取參數的索引了，而且不用關心參數是何種類型。

4 問題總結

• 如今在進行項目開發時已經很少使用原生的jdbc了，大多數都用功能強大的框架去完成，他們幫我們簡化了很多操作，如獲取數據庫連接、封裝結果集、SQL預編譯（可以防止SQL注入）
• 如果實在避免不了使用的話一定要使用可以需編譯的prepareStatement對象，避免被SQL注入帶來的風險。