java的jdbc問號占位符可以防止注入嗎

java的jdbc問號占位符可以防止注入嗎？如果你剛好也有這個(gè)困惑，不妨參照這篇文章。閱讀完整文相信大家對java的占位符有了一定的認(rèn)識。

其實(shí)，like是會注入的，也不建議用，用占位符實(shí)際查詢效果不是like本身的意思，相當(dāng)全匹配。

建議使用instr()函數(shù)，本文主要記錄一下處理防止注入的源碼，為什么用？可以防注入，而拼接的sql可以注入。

先看下面用占位符來查詢的一句話

String sql = "select * from administrator where adminname=?";
psm = con.prepareStatement(sql);

String s_name ="zhangsan' or '1'='1";
psm.setString(1, s_name);

假設(shè)數(shù)據(jù)庫表中并沒有zhangsan這個(gè)用戶名，用plsql運(yùn)行sql語句，可以查出來所有的用戶名，但是在Java中并沒有查出任何數(shù)據(jù)，這是為什么呢？

首先，setString()的源碼中只有方法名字，并沒有任何過程性處理。

那么答案肯定出現(xiàn)在Java到數(shù)據(jù)庫這個(gè)過程中，也就是mysql和oracle驅(qū)動包中，在mysql驅(qū)動包中，PreparedStatement繼承并實(shí)現(xiàn)了jdk中的setString方法，翻看一下源碼，主要是做了轉(zhuǎn)義處理。

也就是原因在于數(shù)據(jù)庫廠商幫你解決了這個(gè)問題，下面就看看這個(gè)方法的具體實(shí)現(xiàn)：

public void setString(int parameterIndex, String x)
throws SQLException {
	if(x == null) {
		setNull(parameterIndex, 1);
	} else {
		checkClosed();
		int stringLength = x.length();
		if(connection.isNoBackslashEscapesSet()) {
			boolean needsHexEscape = isEscapeNeededForString(x, stringLength);
			if(!needsHexEscape) {
				byte parameterAsBytes[] = null;
				StringBuffer quotedString = new StringBuffer(x.length() + 2);
				quotedString.append('\'');
				quotedString.append(x);
				quotedString.append('\'');
				if(!isLoadDataQuery)
					parameterAsBytes = StringUtils.getBytes(quotedString.toString(), charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
				else
					parameterAsBytes = quotedString.toString().getBytes();
				setInternal(parameterIndex, parameterAsBytes);
			} else {
				byte parameterAsBytes[] = null;
				if(!isLoadDataQuery)
					parameterAsBytes = StringUtils.getBytes(x, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
				else
					parameterAsBytes = x.getBytes();
				setBytes(parameterIndex, parameterAsBytes);
			}
			return;
		}
		String parameterAsString = x;
		boolean needsQuoted = true;
		if(isLoadDataQuery || isEscapeNeededForString(x, stringLength)) {
			needsQuoted = false;
			StringBuffer buf = new StringBuffer((int)((double) x.length() * 1.1000000000000001 D));
			buf.append('\'');
			for(int i = 0; i < stringLength; i++) {
				char c = x.charAt(i);
				switch(c) {
					case 0: // '\0'
						buf.append('\\');
						buf.append('0');
						break;
					case 10: // '\n'
						buf.append('\\');
						buf.append('n');
						break;
					case 13: // '\r'
						buf.append('\\');
						buf.append('r');
						break;
					case 92: // '\\'
						buf.append('\\');
						buf.append('\\');
						break;
					case 39: // '\''
						buf.append('\\');
						buf.append('\'');
						break;
					case 34: // '"'
						if(usingAnsiMode)
							buf.append('\\');
						buf.append('"');
						break;
					case 26: // '\032'
						buf.append('\\');
						buf.append('Z');
						break;
					default:
						buf.append(c);
						break;
				}
			}
			buf.append('\'');
			parameterAsString = buf.toString();
		}
		byte parameterAsBytes[] = null;
		if(!isLoadDataQuery) {
			if(needsQuoted)
				parameterAsBytes = StringUtils.getBytesWrapped(parameterAsString, '\'', '\'', charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
			else
				parameterAsBytes = StringUtils.getBytes(parameterAsString, charConverter, charEncoding, connection.getServerCharacterEncoding(), connection.parserKnowsUnicode());
		} else {
			parameterAsBytes = parameterAsString.getBytes();
		}
		setInternal(parameterIndex, parameterAsBytes);
		parameterTypes[(parameterIndex - 1) + getParameterIndexOffset()] = 12;
	}
}

關(guān)于java的jdbc問號占位符就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。