以最安全的方式使用预准备语句

时间:2012-11-05 08:26:09

标签: java sql validation jdbc prepared-statement

从安全验证的角度来看,之间存在差异:

stmt.setObject(1, theObject);

stmt.setString(1, theObject);

我知道在这种情况下theObjectString但是我有兴趣让这部分代码更加通用以涵盖其他情况,并且想知道输入验证的安全性视角是否受到影响< / p>

3 个答案:

答案 0 :(得分:1)

可以使用s setObject(),因为jdbc会尝试为所有java.lang.*类型执行类型解析。

但是,以这种方式将任意SQL字符串传递给数据库可能存在问题 - 安全漏洞:如果没有对用于构建SQL字符串的任何参数进行非常明智的验证,容易受到各种类型的SQL插入攻击。

谨防将无法解释的null传递给setObject()

答案 1 :(得分:0)

IMHO

鉴于JDBC是围绕数据库服务器的一个非常轻量级的包装器(除了为DB直接解释生成SQL之外别无他法),我希望

stmt.setObject(1, theObject);

完全相同 
stmt.setString(1, theObject == null ? "null" : theObject.toString())`;

当数据库处理生成的SQL并发现它是否适合它时,将发生“类型验证”。

答案 2 :(得分:0)

答案似乎与提供商有关,取决于驱动程序的实现。我检查当前postgresql驱动程序的源代码,两个调用是相同的。

如果驱动程序不知道该类型,则抛出异常。

/** code from ./org/postgresql/jdbc2/AbstractJdbc2Statement.java */
public void setObject(int parameterIndex, Object x) throws SQLException
{
    checkClosed();
    if (x == null)
        setNull(parameterIndex, Types.OTHER);
    else if (x instanceof String)
        setString(parameterIndex, (String)x);
    else if (x instanceof BigDecimal)
        setBigDecimal(parameterIndex, (BigDecimal)x);
    else if (x instanceof Short)
        setShort(parameterIndex, ((Short)x).shortValue());
    else if (x instanceof Integer)
        setInt(parameterIndex, ((Integer)x).intValue());
    else if (x instanceof Long)
        setLong(parameterIndex, ((Long)x).longValue());
    else if (x instanceof Float)
        setFloat(parameterIndex, ((Float)x).floatValue());
    else if (x instanceof Double)
        setDouble(parameterIndex, ((Double)x).doubleValue());
    else if (x instanceof byte[])
        setBytes(parameterIndex, (byte[])x);
    else if (x instanceof java.sql.Date)
        setDate(parameterIndex, (java.sql.Date)x);
    else if (x instanceof Time)
        setTime(parameterIndex, (Time)x);
    else if (x instanceof Timestamp)
        setTimestamp(parameterIndex, (Timestamp)x);
    else if (x instanceof Boolean)
        setBoolean(parameterIndex, ((Boolean)x).booleanValue());
    else if (x instanceof Byte)
        setByte(parameterIndex, ((Byte)x).byteValue());
    else if (x instanceof Blob)
        setBlob(parameterIndex, (Blob)x);
    else if (x instanceof Clob)
        setClob(parameterIndex, (Clob)x);
    else if (x instanceof Array)
        setArray(parameterIndex, (Array)x);
    else if (x instanceof PGobject)
        setPGobject(parameterIndex, (PGobject)x);
    else if (x instanceof Character)
        setString(parameterIndex, ((Character)x).toString());
    else if (x instanceof Map)
        setMap(parameterIndex, (Map)x);
    else
    {
        // Can't infer a type.
        throw new PSQLException(GT.tr("Can''t infer the SQL type to use for an instance of {0}. Use setObject() with an explicit Types value to specify the type to use.", x.getClass().getName()), PSQLState.INVALID_PARAMETER_TYPE);
    }
}
相关问题
最新问题