Empêcher les attaques par injection SQL dans les programmes Java

Question

Je dois ajouter une instruction à mon programme Java pour mettre à jour la table de la base de données : Stringinsert="INSERTINTOcustomer(name,address,email)VALUES('"+name+"','"+addre+"','"+email+"') ; ";J'ai entendu dire que cela pouvait être exploité via une injection SQL, par exemple : DROPTABLEcustomer

P粉194919082 · Answer

Par exemple :

name = "'); DROP TABLE customer; --"

insérera cette valeur dans insert :

INSERT INTO customer(name,address,email)     VALUES(''); DROP TABLE customer; --"','"+addre+"','"+email+"');

Utilisez des instructions préparées et des paramètres SQL (exemple "voler" de Matt Fellows) :

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStament ps = connection.prepareStatment(insert);

Analysez également les valeurs de ces variables et assurez-vous qu'elles ne contiennent aucun caractère non autorisé (tel que ";" dans le nom).

P粉030479054 · Answer

Vous devez utiliser PreparedStatement. Par exemple

String insert = "INSERT INTO customer(name,address,email) VALUES(?, ?, ?);";
PreparedStatement ps = connection.prepareStatement(insert);
ps.setString(1, name);
ps.setString(2, addre);
ps.setString(3, email);

ResultSet rs = ps.executeQuery();

Cela empêchera les attaques par injection.

La façon dont un pirate informatique l'insère est si la chaîne que vous insérez provient d'une entrée quelque part - comme un champ de saisie sur une page Web ou un champ de saisie sur un formulaire dans une application ou similaire.