Java 21 字符串模板与 SQL 注入:STR 模板处理器与 PreparedStatement 的强制转换
各位来宾,大家好。今天我们来探讨一个非常重要的话题:Java 21 引入的字符串模板(String Templates)在处理 SQL 查询时可能存在的安全风险,特别是当试图将 STR 模板处理器与 PreparedStatement 结合使用时。我们将深入研究这种结合可能导致的 SQL 注入漏洞,以及如何正确地使用字符串模板来避免这些风险。
1. 字符串模板简介
Java 21 引入的字符串模板是一种新的字符串字面量形式,它允许在字符串中嵌入表达式,并在运行时进行求值。这极大地简化了字符串的构建过程,提高了代码的可读性。
字符串模板的基本语法如下:
String name = "Alice";
String message = STR."Hello, {name}!"; // message 的值为 "Hello, Alice!"其中 STR 是一个预定义的模板处理器,它会执行表达式的求值,并将结果插入到字符串中。Java 21 提供了几种内置的模板处理器,包括 STR, RAW, 和 FMT。我们可以通过自定义 TemplateProcessor 接口来创建自己的模板处理器。
2. SQL 注入漏洞回顾
SQL 注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的 SQL 查询中插入恶意代码来篡改数据库操作。攻击者可以利用 SQL 注入来读取、修改甚至删除数据库中的数据。
一个典型的 SQL 注入漏洞示例如下:
String username = request.getParameter("username");
String query = "SELECT * FROM users WHERE username = '" + username + "'";
try (Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(query)) {
// 处理结果集
}在这个例子中,username 参数直接拼接到了 SQL 查询字符串中。如果攻击者将 username 设置为 ' OR '1'='1,那么生成的 SQL 查询将变为:
SELECT * FROM users WHERE username = '' OR '1'='1'由于 1=1 始终为真,这个查询将返回 users 表中的所有记录,从而泄露了所有用户的敏感信息。
3. STR 模板处理器与 SQL 注入风险
STR 模板处理器在处理字符串时,会直接将表达式的值转换为字符串,并将其插入到模板中。这在某些情况下可能导致 SQL 注入漏洞。
考虑以下示例:
String username = request.getParameter("username");
String query = STR."SELECT * FROM users WHERE username = '{username}'";
try (Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(query)) {
// 处理结果集
}虽然使用了 STR 模板处理器,但仍然存在 SQL 注入的风险。如果攻击者将 username 设置为 ' OR '1'='1,那么生成的 SQL 查询将与前面的例子相同,导致 SQL 注入漏洞。
4. PreparedStatement 的作用与局限性
PreparedStatement 是 JDBC API 提供的一种机制,用于预编译 SQL 查询,并使用占位符来代替参数。这可以有效地防止 SQL 注入漏洞。
使用 PreparedStatement 的示例如下:
String username = request.getParameter("username");
String query = "SELECT * FROM users WHERE username = ?";
try (PreparedStatement preparedStatement = connection.prepareStatement(query)) {
preparedStatement.setString(1, username);
try (ResultSet resultSet = preparedStatement.executeQuery()) {
// 处理结果集
}
}在这个例子中,我们使用了 PreparedStatement,并将 username 参数绑定到占位符 ? 上。JDBC 驱动程序会自动对 username 参数进行转义,从而防止 SQL 注入漏洞。
5. STR 模板处理器与 PreparedStatement 的强制转换:潜在的问题
现在,我们来探讨一个更复杂的问题:将 STR 模板处理器的结果强制转换为 PreparedStatement。这种做法看似可以简化代码,但实际上隐藏着巨大的安全风险。
以下代码展示了这种强制转换:
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class StringTemplateSQLInjection {
public static void main(String[] args) throws SQLException {
String userInput = "test' OR '1'='1"; // 模拟用户输入
String query = "SELECT * FROM users WHERE username = '" + userInput + "'";
//假设connection是数据库连接
try (Connection connection = getConnection()) {
// 错误的用法:尝试将 STR 模板处理器的结果强制转换为 PreparedStatement
try (PreparedStatement preparedStatement = (PreparedStatement) STR."SELECT * FROM users WHERE username = '{userInput}'") { // 这行代码无法通过编译,需要自定义TemplateProcessor
// 这段代码无法执行,因为无法将 String 转换为 PreparedStatement
} catch (ClassCastException e) {
System.err.println("ClassCastException: " + e.getMessage());
}
}
}
private static Connection getConnection() throws SQLException {
// 替换为你的数据库连接信息
String url = "jdbc:h2:mem:testdb";
String user = "sa";
String password = "";
return java.sql.DriverManager.getConnection(url, user, password);
}
}这段代码无法通过编译,因为 STR."SELECT * FROM users WHERE username = '{userInput}'" 的结果是一个 String 对象,而我们试图将其强制转换为 PreparedStatement 对象。Java 编译器会报错,提示类型不匹配。
即使我们能够通过某种方式(例如自定义 TemplateProcessor)绕过编译器的类型检查,这种做法仍然是非常危险的。因为 PreparedStatement 对象必须通过 connection.prepareStatement() 方法创建,才能确保 SQL 查询被预编译,并且参数被正确转义。简单地将一个字符串强制转换为 PreparedStatement 对象,并不能实现这些功能。
为了说明问题,我们创建一个自定义的 TemplateProcessor,它返回一个实现了 PreparedStatement 接口的类。
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.SQLWarning;
import java.util.List;
import java.util.concurrent.Executor;
import jdk.incubator.template.TemplateProcessor;
import jdk.incubator.template.TemplateContext;
public class FakePreparedStatementTemplateProcessor implements TemplateProcessor<FakePreparedStatement, RuntimeException> {
private final Connection connection;
public FakePreparedStatementTemplateProcessor(Connection connection) {
this.connection = connection;
}
@Override
public FakePreparedStatement process(TemplateContext templateContext) {
List<Object> values = templateContext.values();
String cooked = templateContext.interpolate(
(string, value) -> string + (value == null ? "null" : value.toString()));
return new FakePreparedStatement(connection, cooked);
}
public static class FakePreparedStatement implements PreparedStatement {
private final Connection connection;
private final String sql;
public FakePreparedStatement(Connection connection, String sql) {
this.connection = connection;
this.sql = sql;
System.out.println("SQL generated: " + sql); // 输出生成的SQL,方便调试
}
// 模拟 executeQuery 方法
@Override
public ResultSet executeQuery() throws SQLException {
try (java.sql.Statement statement = connection.createStatement()) {
return statement.executeQuery(sql); // 直接执行拼接后的 SQL,存在 SQL 注入风险
}
}
// 以下是 PreparedStatement 接口的其他方法的空实现,仅为了满足接口要求
@Override
public ResultSet executeQuery(String sql) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int executeUpdate(String sql) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void close() throws SQLException {
//Do Nothing
}
@Override
public int getMaxFieldSize() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setMaxFieldSize(int max) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getMaxRows() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setMaxRows(int max) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setEscapeProcessing(boolean enable) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getQueryTimeout() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setQueryTimeout(int seconds) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void cancel() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public SQLWarning getWarnings() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void clearWarnings() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setCursorName(String name) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public boolean execute(String sql) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public ResultSet getResultSet() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getUpdateCount() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public boolean getMoreResults() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setFetchDirection(int direction) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getFetchDirection() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setFetchSize(int rows) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getFetchSize() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getResultSetConcurrency() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getResultSetType() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void addBatch(String sql) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void clearBatch() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int[] executeBatch() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public Connection getConnection() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public boolean getMoreResults(int current) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public ResultSet getGeneratedKeys() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public int getResultSetHoldability() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public boolean isClosed() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setPoolable(boolean poolable) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public boolean isPoolable() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void closeOnCompletion() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public boolean isCloseOnCompletion() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public <T> T unwrap(Class<T> iface) throws SQLException {
throw new UnsupportedOperationException("Unimplemented method 'unwrap'");
}
@Override
public boolean isWrapperFor(Class<?> iface) throws SQLException {
throw new UnsupportedOperationException("Unimplemented method 'isWrapperFor'");
}
@Override
public void setNull(int parameterIndex, int sqlType) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBoolean(int parameterIndex, boolean x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setByte(int parameterIndex, byte x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setShort(int parameterIndex, short x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setInt(int parameterIndex, int x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setLong(int parameterIndex, long x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setFloat(int parameterIndex, float x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setDouble(int parameterIndex, double x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBigDecimal(int parameterIndex, java.math.BigDecimal x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setString(int parameterIndex, String x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBytes(int parameterIndex, byte[] x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setDate(int parameterIndex, java.sql.Date x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setTime(int parameterIndex, java.sql.Time x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setTimestamp(int parameterIndex, java.sql.Timestamp x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setAsciiStream(int parameterIndex, java.io.InputStream x, int length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setUnicodeStream(int parameterIndex, java.io.InputStream x, int length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBinaryStream(int parameterIndex, java.io.InputStream x, int length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void clearParameters() throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setObject(int parameterIndex, Object x, int targetSqlType) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setObject(int parameterIndex, Object x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setCharacterStream(int parameterIndex, java.io.Reader reader, int length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setRef(int parameterIndex, java.sql.Ref x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBlob(int parameterIndex, java.sql.Blob x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setClob(int parameterIndex, java.sql.Clob x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setArray(int parameterIndex, java.sql.Array x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setURL(int parameterIndex, java.net.URL x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setRowId(int parameterIndex, java.sql.RowId x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setNString(int parameterIndex, String value) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setNCharacterStream(int parameterIndex, java.io.Reader value, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setNClob(int parameterIndex, java.sql.NClob value) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setSQLXML(int parameterIndex, java.sql.SQLXML xmlObject) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setAsciiStream(int parameterIndex, java.io.InputStream x, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBinaryStream(int parameterIndex, java.io.InputStream x, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setCharacterStream(int parameterIndex, java.io.Reader reader, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setAsciiStream(int parameterIndex, java.io.InputStream x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBinaryStream(int parameterIndex, java.io.InputStream x) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setCharacterStream(int parameterIndex, java.io.Reader reader) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setNCharacterStream(int parameterIndex, java.io.Reader value) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setNClob(int parameterIndex, java.sql.NClob value, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setClob(int parameterIndex, java.sql.Clob value, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBlob(int parameterIndex, java.io.InputStream inputStream, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setClob(int parameterIndex, java.io.Reader reader, long length) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setBlob(int parameterIndex, java.io.InputStream inputStream) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setClob(int parameterIndex, java.io.Reader reader) throws SQLException {
throw new UnsupportedOperationException("Not supported yet.");
}
@Override
public void setNClob(int parameterIndex, Reader reader) throws SQLException {
// TODO Auto-generated method stub
}
@Override
public void setNClob(int parameterIndex, Reader reader, long length) throws SQLException {
// TODO Auto-generated method stub
}
@Override
public void setLargeMaxRows(long max) throws SQLException {
// TODO Auto-generated method stub
}
@Override
public long getLargeMaxRows() throws SQLException {
// TODO Auto-generated method stub
return 0;
}
@Override
public long executeLargeUpdate(String sql) throws SQLException {
// TODO Auto-generated method stub
return 0;
}
@Override
public long executeLargeUpdate() throws SQLException {
// TODO Auto-generated method stub
return 0;
}
@Override
public long[] executeLargeBatch() throws SQLException {
// TODO Auto-generated method stub
return null;
}
@Override
public void setNetworkTimeout(Executor executor, int milliseconds) throws SQLException {
// TODO Auto-generated method stub
}
@Override
public int getNetworkTimeout() throws SQLException {
// TODO Auto-generated method stub
return 0;
}
}
}现在,我们可以使用这个自定义的 TemplateProcessor 来执行 SQL 查询:
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class StringTemplateSQLInjection {
public static void main(String[] args) throws SQLException {
String userInput = "test' OR '1'='1"; // 模拟用户输入
//假设connection是数据库连接
try (Connection connection = getConnection()) {
FakePreparedStatementTemplateProcessor processor = new FakePreparedStatementTemplateProcessor(connection);
// 使用自定义的 Template Processor
FakePreparedStatementTemplateProcessor.FakePreparedStatement preparedStatement = processor.process(jdk.incubator.template.StringTemplate.of("SELECT * FROM users WHERE username = '{userInput}'").getContext());
try (ResultSet resultSet = preparedStatement.executeQuery()) {
while (resultSet.next()) {
System.out.println(resultSet.getString("username")); // 打印结果
}
}
}
}
private static Connection getConnection() throws SQLException {
// 替换为你的数据库连接信息
String url = "jdbc:h2:mem:testdb;INIT=RUNSCRIPT FROM 'classpath:schema.sql'";
String user = "sa";
String password = "";
return java.sql.DriverManager.getConnection(url, user, password);
}
}在这个例子中,我们创建了一个 FakePreparedStatement 对象,它实现了 PreparedStatement 接口,但是它的 executeQuery 方法直接执行了拼接后的 SQL 查询。这导致了 SQL 注入漏洞。
schema.sql:
CREATE TABLE users (
id INT PRIMARY KEY,
username VARCHAR(255) NOT NULL
);
INSERT INTO users (id, username) VALUES (1, 'admin');
INSERT INTO users (id, username) VALUES (2, 'test');运行这段代码,你会发现它会返回 users 表中的所有记录,即使 username 参数包含了恶意代码。这证明了将 STR 模板处理器的结果强制转换为 PreparedStatement 对象是不可行的,并且会导致严重的安全风险。
6. 正确使用字符串模板与 PreparedStatement
要安全地使用字符串模板和 PreparedStatement,我们需要遵循以下原则:
- 不要将
STR模板处理器的结果强制转换为PreparedStatement对象。 - 始终使用
connection.prepareStatement()方法创建PreparedStatement对象。 - 使用占位符
?来代替参数,并将参数绑定到占位符上。
以下代码展示了如何正确地使用字符串模板和 PreparedStatement:
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class StringTemplateSQLInjection {
public static void main(String[] args) throws SQLException {
String userInput = "test' OR '1'='1"; // 模拟用户输入
//假设connection是数据库连接
try (Connection connection = getConnection()) {
// 正确的用法:使用 connection.prepareStatement() 和占位符
String query = "SELECT * FROM users WHERE username = ?"; // 使用占位符
try (PreparedStatement preparedStatement = connection.prepareStatement(query)) {
preparedStatement.setString(1, userInput); // 绑定参数
try (ResultSet resultSet = preparedStatement.executeQuery()) {
while (resultSet.next()) {
System.out.println(resultSet.getString("username")); // 打印结果
}
}
}
}
}
private static Connection getConnection() throws SQLException {
// 替换为你的数据库连接信息
String url = "jdbc:h2:mem:testdb;INIT=RUNSCRIPT FROM 'classpath:schema.sql'";
String user = "sa";
String password = "";
return java.sql.DriverManager.getConnection(url, user, password);
}
}在这个例子中,我们首先使用 connection.prepareStatement() 方法创建了一个 PreparedStatement 对象,并将 SQL 查询字符串作为参数传递给它。然后,我们使用 preparedStatement.setString() 方法将 username 参数绑定到占位符 ? 上。这样,JDBC 驱动程序会自动对 username 参数进行转义,从而防止 SQL 注入漏洞。
7. 自定义模板处理器:更安全的方案
虽然 STR 模板处理器在处理 SQL 查询时存在安全风险,但我们可以通过自定义模板处理器来解决这个问题。自定义模板处理器可以对表达式的值进行转义,从而防止 SQL 注入漏洞。
以下代码展示了如何创建一个自定义的模板处理器,用于转义 SQL 查询中的参数:
import jdk.incubator.template.TemplateProcessor;
import jdk.incubator.template.TemplateContext;
import java.sql.Connection;
import java.sql.SQLException;
import java.util.List;
public class SQLEscapeTemplateProcessor implements TemplateProcessor<String, RuntimeException> {
private final Connection connection;
public SQLEscapeTemplateProcessor(Connection connection) {
this.connection = connection;
}
@Override
public String process(TemplateContext templateContext) {
List<Object> values = templateContext.values();
return templateContext.interpolate(
(string, value) -> {
try {
return string + (value == null ? "null" : escapeSQL(value.toString()));
} catch (SQLException e) {
throw new RuntimeException(e);
}
});
}
private String escapeSQL(String value) throws SQLException {
// 使用数据库的转义函数来转义 SQL 查询中的参数
// 不同的数据库有不同的转义函数,例如 MySQL 的 `connection.escapeString()`
// 这里使用一个简单的替换方法作为示例,实际应用中需要使用数据库提供的转义函数
return value.replace("'", "''");
}
}在这个例子中,我们创建了一个名为 SQLEscapeTemplateProcessor 的自定义模板处理器。它实现了 TemplateProcessor 接口,并重写了 process 方法。在 process 方法中,我们使用 escapeSQL 方法对表达式的值进行转义。escapeSQL 方法使用数据库的转义函数来转义 SQL 查询中的参数,从而防止 SQL 注入漏洞。
要使用这个自定义模板处理器,我们可以使用以下代码:
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import jdk.incubator.template.StringTemplate;
public class StringTemplateSQLInjection {
public static void main(String[] args) throws SQLException {
String userInput = "test' OR '1'='1"; // 模拟用户输入
//假设connection是数据库连接
try (Connection connection = getConnection()) {
SQLEscapeTemplateProcessor sqlEscape = new SQLEscapeTemplateProcessor(connection);
// 使用自定义的 Template Processor
String query = StringTemplate.process("SELECT * FROM users WHERE username = '{userInput}'", sqlEscape);
try (PreparedStatement preparedStatement = connection.prepareStatement(query)) {
try (ResultSet resultSet = preparedStatement.executeQuery()) {
while (resultSet.next()) {
System.out.println(resultSet.getString("username")); // 打印结果
}
}
}
}
}
private static Connection getConnection() throws SQLException {
// 替换为你的数据库连接信息
String url = "jdbc:h2:mem:testdb;INIT=RUNSCRIPT FROM 'classpath:schema.sql'";
String user = "sa";
String password = "";
return java.sql.DriverManager.getConnection(url, user, password);
}
}在这个例子中,我们首先创建了一个 SQLEscapeTemplateProcessor 对象,并将数据库连接传递给它。然后,我们使用 StringTemplate.process() 方法将 SQL 查询字符串和自定义模板处理器传递给它。StringTemplate.process() 方法会使用自定义模板处理器对 SQL 查询字符串进行处理,并将结果返回。最后,我们使用 connection.prepareStatement() 方法创建一个 PreparedStatement 对象,并将处理后的 SQL 查询字符串传递给它。
需要注意的是,escapeSQL 方法需要使用数据库提供的转义函数。不同的数据库有不同的转义函数,例如 MySQL 的 connection.escapeString()。你需要根据你使用的数据库来选择正确的转义函数。
表格总结:STR 模板处理器与 PreparedStatement 的安全使用
| 问题 | 错误做法 | 正确做法 |
|---|---|---|
| SQL 注入风险 | 直接将 STR 模板处理器的结果拼接成 SQL 查询字符串。 |
使用 connection.prepareStatement() 方法创建 PreparedStatement 对象,并使用占位符 ? 来代替参数,然后使用 preparedStatement.setString() 等方法将参数绑定到占位符上。 |
将 STR 结果强制转换为 PreparedStatement |
试图将 STR 模板处理器的结果强制转换为 PreparedStatement 对象。 |
不要将 STR 模板处理器的结果强制转换为 PreparedStatement 对象。PreparedStatement 对象必须通过 connection.prepareStatement() 方法创建。 |
| 安全地使用字符串模板 | 使用 STR 模板处理器直接将用户输入拼接成 SQL 查询字符串。 |
创建自定义模板处理器,对用户输入进行 SQL 转义,然后使用 StringTemplate.process() 方法将 SQL 查询字符串和自定义模板处理器传递给它。 |
8. 其他安全建议
除了正确地使用字符串模板和 PreparedStatement 之外,还有一些其他的安全建议可以帮助你防止 SQL 注入漏洞:
- 使用最小权限原则: 数据库用户只应该拥有执行其所需操作的最小权限。
- 验证所有用户输入: 对所有用户输入进行验证,确保其符合预期的格式和范围。
- 使用 Web 应用防火墙 (WAF): WAF 可以帮助你检测和阻止 SQL 注入攻击。
- 定期进行安全审计: 定期对你的应用程序进行安全审计,以发现和修复潜在的安全漏洞。
字符串模板不是万能药,需谨慎使用
Java 21 的字符串模板提供了一种便捷的方式来构建字符串,但在处理 SQL 查询时,必须谨慎使用。直接使用 STR 模板处理器可能会导致 SQL 注入漏洞。为了确保安全,应该始终使用 PreparedStatement,并使用占位符来代替参数。自定义模板处理器可以提供更安全的解决方案,但需要正确地转义 SQL 查询中的参数。
牢记安全原则,构建可靠应用
安全是一个持续的过程,需要开发人员不断学习和实践。通过遵循本文中提出的安全建议,你可以有效地防止 SQL 注入漏洞,并构建更安全、更可靠的应用程序。
感谢大家的聆听。