-2

我有一个动态构建的 SQL,以下是查询:

private String constructTownSearchQuery(String country, String stateName,String districtName,String townName) {
        StringBuilder statesSearchQuery = new StringBuilder();
        statesSearchQuery.append(" select cntry.countryid,cntry.country,sta.stateid,sta.state,dst.districtid,dst.district,twn.townid,twn.town ");
        statesSearchQuery.append(" from m_countries as cntry,m_states as sta,m_districts as dst,m_towns as twn ");
        statesSearchQuery.append(" where cntry.countryid = sta.countryid ");
        statesSearchQuery.append(" and sta.stateid = dst.stateid ");
        statesSearchQuery.append(" and twn.districtid=dst.districtid ");

        if (!country.equals("")) {
            statesSearchQuery.append(" and cntry.country='").append(country).append("' ");
        }
        if (!stateName.equals("")) {
            statesSearchQuery.append(" and sta.state='").append(stateName).append("'");
        }
        if (!districtName.equals("") ) {
           statesSearchQuery.append(" and dst.district='").append(districtName).append("'");
        }
        if (!townName.equals("") ) {
           statesSearchQuery.append(" and  twn.town='").append(townName).append("'");
        }
        statesSearchQuery.append(" order by cntry.country ");
        return statesSearchQuery.toString();
    }

当我使用这个查询时,它很容易发生 SQL 注入,我被告知PreparedStatement要避免这种情况。

请建议我如何使用preparedStatement它。

问候。

4

1 回答 1

3

当您将 value 参数添加到像 ( .append(country)) 这样的查询时,它可以很容易地注入。

例如,如果您将 country 作为"Australia"正常情况传递,则不会有任何问题,但如果我将 country 作为 传递"a' or '1'='1",那么它将选择您的所有国家/地区。

就像在PreparedStatementSQL 语句中预编译的那样,然后可以使用该对象多次有效地执行该语句,您将不会受到 SQL 注入的影响。

更多关于PreparedStatement

String selectStatement = "SELECT * FROM User WHERE userId = ? ";
PreparedStatement prepStmt = con.prepareStatement(selectStatement);
prepStmt.setString(1, userId);
ResultSet rs = prepStmt.executeQuery();

更多关于SQL 注入的信息。

于 2012-11-26T07:18:04.307 回答