稍后在准備好的語句中使用的連接字符串是否會導致 sql 注入?
[英]Does concatenated string that is later used in prepared statement cause sql injection?
問題描述
我正在評估一段代碼來檢查 sql 注入的可能性。 我注意到,在制作准備好的語句之前,僅針對 where 條件(名為 strwhere)構造一個字符串,然后將其傳遞給創建准備好的語句的 function。 請注意,在使用字符串連接構建的 strwhere 中,這是否會引發 sql 注入? 或者只是傳遞給准備好的語句的事實消除了這種風險?
代碼:
String strWhere = whereString + " AND " + "(" + Table1.ID + "=" + ID + ")";
Rows = myTable.readRow(jdbcSource, stWhere);
在readRow function 中,它使用准備好的語句構建最終查詢。
2 個解決方案
解決方案1
0 2022-09-12 20:51:03
是的,您顯示的代碼存在 SQL 注入的風險,具體取決於Table1.ID和ID的賦值方式。
不,使用准備好的語句並不能消除 SQL 注入的風險。
解決方案2
0 2022-09-12 21:29:19
使用准備好的語句有助於確保參數不會導致 SQL 注入。 它不會阻止不受信任的數據進入語句的問題。 如果Table.ID或ID來自不受信任的來源,您仍然會遇到 SQL 注入問題。
您可以通過驗證或引用不受信任的值來解決此問題。 選項是:
- 引用表和 ID 名稱並驗證表/ID 沒有引號
- 使用數據庫中的參數化查詢驗證表和 ID 名稱 - 因為在這種情況下這些是變量,所以這將是安全的。 如果攻擊者能夠創建任意 ID 或表名,這不會保護您
- 引用表和 ID 名稱並對任何引號進行編碼 - 這有點棘手
如何在Java中構建查詢以防止使用預准備語句進行SQL注入
[英]How to build query in Java to prevent SQL injection using prepared statement
使用Order By的准備好的語句來防止SQL注入Java
[英]Using prepared statement for Order by to prevent SQL injection java
在准備好的語句中,setString()是防止SQL注入的唯一有用的方法嗎?
[英]In prepared statement is setString() the only useful method to prevent SQL injection?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.