为什么占位符可以防止sql注入？

Posted 2020-08-19 GreatAnt

先看下面用占位符来查询的一句话

String sql = "select * from administrator where adminname=?";
psm = con.prepareStatement(sql);

String s_name ="zhangsan\' or \'1\'=\'1";
psm.setString(1, s_name);

假设数据库表中并没有zhangsan这个用户名，

用plsql运行sql语句，可以查出来所有的用户名，但是在Java中并没有查出任何数据，这是为什么呢？

首先，setString()的源码中只有方法名字，并没有任何过程性处理，

那么答案肯定出现在Java到数据库这个过程中，也就是mysql和oracle驱动包中，在mysql驱动包中，PreparedStatement继承并实现了jdk中的setString方法，

也就是原因在于数据库厂商帮你解决了这个问题，下面就看看这个方法的具体实现：

public void setString(int parameterIndex, String x) throws SQLException {
        // if the passed string is null, then set this column to null
        if (x == null) {
            setNull(parameterIndex, Types.CHAR);
        } else {
            StringBuffer buf = new StringBuffer((int) (x.length() * 1.1));
            buf.append(\'\\\'\');

            int stringLength = x.length();

            //
            // Note: buf.append(char) is _faster_ than
            // appending in blocks, because the block
            // append requires a System.arraycopy()....
            // go figure...
            //
            for (int i = 0; i < stringLength; ++i) {
                char c = x.charAt(i);

                switch (c) {
                case 0: /* Must be escaped for \'mysql\' */
                    buf.append(\'\\\\\');
                    buf.append(\'0\');

                    break;

                case \'\\n\': /* Must be escaped for logs */
                    buf.append(\'\\\\\');
                    buf.append(\'n\');

                    break;

                case \'\\r\':
                    buf.append(\'\\\\\');
                    buf.append(\'r\');

                    break;

                case \'\\\\\':
                    buf.append(\'\\\\\');
                    buf.append(\'\\\\\');

                    break;

                case \'\\\'\':
                    buf.append(\'\\\\\');
                    buf.append(\'\\\'\');

                    break;

                case \'"\': /* Better safe than sorry */
                    if (this.usingAnsiMode) {
                        buf.append(\'\\\\\');
                    }

                    buf.append(\'"\');

                    break;

                case \'\\032\': /* This gives problems on Win32 */
                    buf.append(\'\\\\\');
                    buf.append(\'Z\');

                    break;

                default:
                    buf.append(c);
                }
            }

            buf.append(\'\\\'\');

            String parameterAsString = buf.toString();

            byte[] parameterAsBytes = null;

            if (!this.isLoadDataQuery) {
                parameterAsBytes = StringUtils.getBytes(parameterAsString,
                        this.charConverter, this.charEncoding, this.connection
                                .getServerCharacterEncoding(), this.connection
                                .parserKnowsUnicode());
            } else {
                // Send with platform character encoding
                parameterAsBytes = parameterAsString.getBytes();
            }

            setInternal(parameterIndex, parameterAsBytes);
        }
    }

所以转义后的sql为\'zhangsan\\\' or \\\'1\\\'=\\\'1\';这个时候是查不出来的。