此查询是否可以进行 SQL 注入？

Question

UPDATE `company` SET `itnumber` = '595959' WHERE (id = 932) 

所以 itnumber 的值来自该公司的用户输入。我想确保我能够防止任何类型的 sql 注入。所以用户输入 595959，我在动态查询中将该值构建为“595959”。在这个查询中是否仍然可能有 sql 注入攻击？我知道使用prepare语句来防止sql注入，但是prepare语句可能需要我的应用程序进行大量的开发工作，所以我正在寻找更省时、更简单的方法来修复我的大部分sql语句注入是可能的.

StringBuffer sb = new StringBuffer();
sb.append(" UPDATE ");
sb.append(DB.quote(table));
sb.append(" SET ");
/* logic if column value has changed */
/* if yes */
sb.append(DB.quote(column.name));
sb.append(" = ");
sb.append(column.getSQLvalue());
sb.append(" WHERE (id = ");
sb.append(columns[0].getSQLvalue());
sb.append(")");
execute(sb.toString());

Answer 1

如果您只是将输入连接成一个 SQL 字符串而不进行任何清理（并且只是用单引号 ' 将其括起来并不能使其干净），那么是的，它容易受到 SQL 注入的攻击。

请发布构造此 SQL 的代码以获得明确的答案。

---

更新：

由于您使用的是 Oracle SQL 库中的getSQLvalue()，这将确保传入的值被正确转义。这对于 SQL 注入确实是安全的，但是它需要您记住在每个地方都使用它。但是，使用参数可以确保相同，而不会忘记转义 SQL 值。

Answer 2

是的，是的。例如：

UPDATE `company`
SET `itnumber` = '595959'; DROP TABLE company; --' WHERE (id = 932)

可能会工作。

Answer 3

我知道使用准备语句 用来防止sql注入，但是 准备语句可能需要很多时间 我的发展努力 应用程序，所以我正在寻找更少 耗时且更容易的方法 修复我的大部分 sql 语句 注射是可能的。

您会惊讶于从一开始就以right 方式实施解决方案所花费的时间少了多少。另外，这怎么比连接查询字符串更复杂？

PreparedStatement pstmt = con.prepareStatement(
       "UPDATE `company` SET `itnumber` = ? WHERE (id = ?)"
   );
pstmt.setString(1, "595959");
pstmt.setInt(2, 932);

另外，大多数现代驱动程序都会缓存准备好的语句的执行计划，这将加快其他查询的速度。

Answer 4

真正最安全的做法是为此创建一个存储过程，然后您的数据类型至少可以保护您一点。

CREATE PROC usp_Update_itnumber_by_Company_Id

@itnumber int
, @Company_Id int

as

BEGIN TRAN    
UPDATE [Company]
SET itnumber = @itnumber
WHERE id = @Company_Id;

COMMIT TRAN 

这样 if if ; DROP TABLE 公司； --' WHERE (id = 932) 被传递到@Company_Id 它将失败，因为数据类型是不匹配的。

如果您尝试确定要更新哪些列并且仅当它们已更改时，您可以考虑执行 MERGE 而不是 UPDATE 语句。这样您就可以提取记录的当前状态，并且仅在它们不相同时才更新。