14.jdbc第三步PreparedStatement防sql注入

1.首先要明白什么是sql注入、怎么做

• ①sql注入理解： 通过将不可信输入伪装成 SQL 语法片段，篡改原始 SQL 的语法结构，迫使数据库执行非预期的非法操作。

• ② 怎样做

  • 通过 URL 参数传参或者其他传参方式将含有sql语法的参数传递给服务器

    恶意请求：http://你的网站/user?id=1'%20OR%20'1'='1
    （注：URL 中不能直接传空格 / 单引号，需 URL 编码：'编码为%27，空格编码为%20，最终拼接后的id仍是1' OR '1'='1）；
    即传到服务器端后id = 1' OR '1'='1
    

  • 服务器端处理

            // 拼接SQL（核心风险点）String sql = "SELECT * FROM user WHERE id = '" + id + "'";//即：SELECT * FROM user WHERE id = '1' OR '1'='1'// 执行SQLStatement stmt = conn.createStatement();ResultSet rs = stmt.executeQuery(sql);
    

    核心总结：注入的实现本质 ，利用字符串拼接，让参数变成SQL 语法的一部分；插入 OR/AND/DELETE/UPDATE 等 SQL 关键字，篡改执行逻辑；

2.防 SQL 注入的核心原则：让输入永远只做数据，不做语法

• ① 先明确核心差异：Statement vs PreparedStatement 源码级执行逻辑

  特性	Statement	PreparedStatement
  SQL 处理时机	执行时才解析、编译 SQL（每次都重新来）	先预编译 SQL 结构，执行时仅代入参数（复用编译结果）
  注入风险	极高（参数可篡改语法）	无（参数仅为数据，不参与语法解析）

• PreparedStatement 如何防注入？

  参数绑定阶段

  // PreparedStatementImpl的setString方法
  public void setString(int parameterIndex, String x) throws SQLException {synchronized (this.getConnectionMutex()) {// 步骤1：校验参数索引（避免越界）checkClosed();// 步骤2：对参数值做「安全转义」（核心！）// 比如把单引号 ' 转义为 ''，把 \ 转义为 \\String escapedValue = escapeString(x);// 步骤3：将转义后的参数值存入「参数数组」，不修改原SQL结构this.parameterValues[parameterIndex - 1] = escapedValue;this.parameterTypes[parameterIndex - 1] = Types.VARCHAR;}
  }//escapeString(x)实现
  package com.mysql.cj.util;public class StringUtils {/*** 转义字符串中的特殊字符，适配MySQL的字符串字面量规则* @param str 待转义的用户输入参数* @param connection 数据库连接（获取字符集/转义配置）* @return 转义后的安全字符串*/public static String escapeString(String str, Connection connection) {if (str == null) {return null;}StringBuilder sb = new StringBuilder(str.length() * 2); // 预扩容，避免频繁扩容char[] chars = str.toCharArray();for (char c : chars) {switch (c) {// 1. 核心转义：单引号（SQL注入最常用的边界符）case '\'':sb.append("''"); // MySQL中用两个单引号转义一个单引号break;// 2. 转义反斜杠（避免攻击者用反斜杠绕过转义）case '\\':sb.append("\\\\");break;// 3. 转义换行符（避免换行截断SQL，或注入多行注释）case '\n':sb.append("\\n");break;// 4. 转义回车符case '\r':sb.append("\\r");break;// 5. 转义水平制表符case '\t':sb.append("\\t");break;// 6. 转义换页符case '\014':sb.append("\\f");break;// 7. 转义空字符（避免数据库解析异常）case '\0':sb.append("\\0");break;// 其他普通字符：直接追加，不处理default:sb.append(c);break;}}return sb.toString();}
  }
  

  核心动作：驱动自动转义参数中的特殊字符（如 1' OR '1'='1 会被转义为 1'' OR ''1''=''1），确保参数仅为纯数据。