Java开发笔记（一百四十九）引入预报告的好处

前面介绍了各种SQL语句的调用过程，虽然例子代码写死了每个SQL串，但是完全可以把查询条件作为方法参数传进来。比如现在想删除某个课程的教师记录，那么在编写删除方法时，就把课程名称作为该方法的一个输入参数。据此编写的方法代码示例如下：

	// 删除记录
	private static void deleteRecord(Statement stmt, String course) throws SQLException {
		String sql = String.format("delete from teacher where course='%s'", course);
		int count = stmt.executeUpdate(sql); // 执行处理语句
		System.out.println("待执行的SQL语句："+sql);
		System.out.println("删除记录语句的返回结果为"+count);
	}

接着外部准备调用上面的deleteRecord方法，第二个课程参数填“化学”，表示希望删除所有化学老师的记录，调用代码如下所示：

			deleteRecord(stmt, "化学"); // 删除记录

运行包含以上代码的测试程序，观察到以下的输出日志。

待执行的SQL语句：delete from teacher where course='化学'
删除记录语句的返回结果为1

从日志信息可见，只删除一条化学老师的记录，看起来似乎一切正常。不过课程参数由外部传入，谁知道课程字符串是什么东西呢？倘若有人闲得发慌，在键盘上随便输了几个字符，像“' or '1'='1”这样的字符串当作课程名称。于是删除方法的调用代码变成了下面这般：

			deleteRecord(stmt, "' or '1'='1"); // 删除记录

再次运行测试程序，发现输出日志变得有点不对劲：

待执行的SQL语句：delete from teacher where course='' or '1'='1'
删除记录语句的返回结果为4

没想到随便输的几个字符竟然也让SQL语句执行了，而且是把teacher表的剩余记录删得精光。这可不得了了，原语句的格式明明只肯删除特定课程的记录，为啥执行结果大相径庭呢？缘由在于待执行的SQL语句呆板地将课程字符串原样填了进去，造成出现“or '1'='1'”这种极端条件，自然MySQL忠实地删光了teacher表。诸如此类的SQL缺陷，人称SQL注入漏洞，它常常被黑客利用为所欲为，造成重大损失。
上述的实验结果暴露了报告机制的安全问题，一旦条件参数被人恶意篡改，就可能产生意料之外的严重状况。为此JDBC又设计了另一种预报告机制，预报告定义了新类PreparedStatement，与原报告Statement不同的是，创建预报告对象时就要设定SQL语句，并且SQL里面的动态参数以问号代替。然后准备调用executeUpdate或者executeQuery之前，先调用预报告对象的setString方法来设置对应序号的参数值。下面便是引入预报告之后的数据库操作代码例子：

	// 测试预报告的处理
	private static void testPreparedStatement() {
		String sql = "delete from teacher where course=?";
		// 先获取数据库的连接，再创建连接的预报告
		try (Connection conn = DriverManager.getConnection(dbUrl, dbUserName, dbPassword);
				PreparedStatement stmt = conn.prepareStatement(sql)) {
			//stmt.setString(1, "化学"); // 设置对应序号的参数值
			stmt.setString(1, "'' or 1=1"); // 设置对应序号的参数值
			int count = stmt.executeUpdate(); // 执行处理语句
			System.out.println("预先准备的SQL语句："+stmt.toString());
			System.out.println("删除记录语句的返回结果为"+count);
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}

仍以之前的恶意字符串为例，上面代码在调用setString方法时填入了“' or '1'='1”，意图继续浑水摸鱼。运行包含testPreparedStatement方法的测试程序，观察到的日志信息如下所示：

预先准备的SQL语句：com.mysql.cj.jdbc.ClientPreparedStatement: delete from teacher where course='\'\' or 1=1'
删除记录语句的返回结果为0

从日志结果可见，这次捣乱行为没有得逞，一条记录都没删除。注意此时的条件语句变为“course='\'\' or 1=1'”，显然预报告把字符串中的单引号做了转义，使得转义后的条件语句格式不正确，也就没能成功执行SQL。由此证明预报告PreparedStatement提升了数据库操作的安全性，凡是需要动态传入参数的SQL语句，最好采取预报告机制加以处理。

更多Java技术文章参见《Java开发笔记（序）章节目录》