SqlInjection with prepared statement without bind variable？

Question

正如我们所知，避免sql注入的最好方法是使用带有绑定变量的准备好的语句。但我有我如果用刚刚准备什么 声明，但没有绑定变量了下方的客户编号是从用户界面来问题

String query ="select * from customer where customerId="+customerId; 
PreparedStatement stmt = con.prepareStatement(query); //line1 

请问1个线照顾限制，即使我没有使用绑定变量的SQL注入？

我同意最好的办法是低于但如果上述方法还需要restrcting SQL注入的护理的话，我宁愿上面一个（如 其遗留项目）

String query ="select * from customer where customerId=?"; 
    PreparedStatement stmt = con.prepareStatement(query); 
    stmt.setInt(1, 100); 

准备语句不使用绑定变量足以确保SQL注入不可能？或

Answer 1

一个必须区分几个事​​项

查询。

使用准备好的语句不会只凭本身做任何帮助。
除了有在一般使用非准备方式没有坏处。

的事作品只有当您需要将动态部分插入查询时。 因此，在后一种情况下，例如一动态部分具有通过占位符仅，其实际值必须被后来结合到进入查询（占位符是一个?或表示在查询中的实际数据的任何其它标记）。

非常术语“准备好的声明” 使用占位符为所有是进入查询动态数据意味着。所以，

• 如果您在查询中没有动态部分，那么即使不使用预处理语句，显然也不会有任何注入。
• 如果您使用的是事先准备好的声明，但注入值直接进入查询，而不是结合他们 - 这将是注入敞开的。

所以，再一次 - 只用占位符编写的语句将所有工作动力数据。和它的作品，因为：

• 每一个动态值必须正确格式化
• 事先准备好的声明，使正确的格式（或处理）必然。
• 准备好的声明不正确的格式（或处理）的唯一合适的地方 - 查询执行前的权利，而不是别的地方，所以，我们的安全不会依赖不可靠等来源，如
  • 一些“魔力”功能，而不是使其安全，而不是破坏数据。
  • 一个（或几个）程序员的良好愿望，他们可以决定在程序流程中的某个地方格式化（或不格式化）我们的变量。这点非常重要。
• 准备语句影响了进入查询很值，但不能在源变量，保持完整，并可以在进一步的代码被用于（通过电子邮件被发送或屏幕上示出）。
• 准备好的语句可以使应用程序代码大大缩短，在后台执行所有格式化（仅在驱动程序允许的情况下才会执行*）。

Answer 2

1号线将不会检查是否develeper想不想删除表。如果你写查询它假设它是好的。

目标SQL注入是准备允许作出额外的SQL查询，而无需意志也不是开发商的知识价值。用属性中的虚假值引用您的网站。 实施例：

 id = "'); DROP ALL TABLES; --"; 
     query = "select * from customer where customerId="+id; 

的PreparedStatement确保特殊符号（如“或“）加到使用SETINT /了setString /等等不会与SQL查询干扰

Answer 3

我知道这是一个老帖子，我只是想补充一点，你避免注入攻击，如果你能确保你只允许整数到您的查询线1.字符串输入是在注入攻击发生。在上面的示例中，虽然它看起来像一个int，但不清楚哪个类的变量'customerId'是。由于这个问题被标记为Java，所以你不能用int来进行注入攻击，所以你应该没问题。

如果它是第1行中的字符串，则需要确信'customerId'来自必须是整数的安全源。如果它来自帖子表单或其他用户生成的字段，那么您可以尝试将其转义或将其转换为整数以确保。如果它是一个字符串，则将其转换为整数，并且不需要绑定参数。