java web sql注入测试(3)---现象分析

     那为什么出现以上问题呢？这是程序代码层控制不当导致的。如果web前端对输入数据控制严格，会对数据库进行操作的字符串，在客户端做敏感字符转义处理，或者在操作数据库的dao层，使用动态参数的sql，不使用拼接方式的sql，都可以防止该类问题的发生。

    一般情况，如果测试人员了解dao层的具体设计，如果使用的就是非拼接方式的，基本是可以拦截大部分这些存在问题的sql了。而如果使用的是拼接方式，就可以好好的设计测试用例，进行测试了。

   那又为什么非拼接方式就可以有效的防止SQL注入测试呢？

修改上部分核心代码块，采用动态sql（预编译sql方式）： 

String hql="delete from Department where name=?";

Query query = session.createQuery(hql);

query.setString(0, name);

 同样输入的代码存在问题：

 可是结果却没有删除。为什么呢？

   因为在setString方法中实现了对字符串中敏感字符的转义。Jdk提供PreparedStatemen接口，在mysql的jar包中，PreparedStatement实现了jdk中的PreparedStatement，里面的setString方法如下：

1. public void setString(int parameterIndex, String x) throws SQLException {  
2.         // if the passed string is null, then set this column to null  
3.         if (x == null) {  
4.             setNull(parameterIndex, Types.CHAR);  
5.         } else {  
6.             StringBuffer buf = new StringBuffer((int) (x.length() * 1.1));  
7.             buf.append('\'');  
8.   
9.             int stringLength = x.length();  
10.               //  
11.             // Note: buf.append(char) is _faster_ than  
12.             // appending in blocks, because the block  
13.              // append requires a System.arraycopy()....  
14.             // go figure...  
15.             //  
16.             for (int i = 0; i < stringLength; ++i) {  
17.                  char c = x.charAt(i);  
18.    
19.                 switch (c) {  
20.                case 0: /* Must be escaped for 'mysql' */  
21.                      buf.append('\\');  
22.                     buf.append('0');  
23.    
24.                    break;  
25.  
26.                  case '\n': /* Must be escaped for logs */  
27.                     buf.append('\\');  
28.                     buf.append('n');  
29.    
30.                    break;  
31.    
32.                 case '\r':  
33.                      buf.append('\\');  
34.                      buf.append('r');  
35.    
36.                      break;  
37.    
38.                  case '\\':  
39.                      buf.append('\\');  
40.                      buf.append('\\');  
41.    
42.                      break;  
43.    
44.                  case '\'':  
45.                      buf.append('\\');  
46.                      buf.append('\'');  
47.    
48.                      break;  
49.    
50.                  case '"': /* Better safe than sorry */  
51.                      if (this.usingAnsiMode) {  
52.                          buf.append('\\');  
53.                     }  
54.    
55.                      buf.append('"');     
56.                      break;  
57.    
58.                  case '\032': /* This gives problems on Win32 */  
59.                      buf.append('\\');  
60.                      buf.append('Z');  
61.    
62.                      break;  
64.                  default:  
65.                     buf.append(c);  
66.                  }  
67.              }  
68.    
69.              buf.append('\'');  
70.    
71.              String parameterAsString = buf.toString();  
72.    
73.              byte[] parameterAsBytes = null;  
74.    
75.              if (!this.isLoadDataQuery) {  
76.                  parameterAsBytes = StringUtils.getBytes(parameterAsString,  
77.                          this.charConverter, this.charEncoding, this.connection  
78.                                  .getServerCharacterEncoding(), this.connection  
79.                                  .parserKnowsUnicode());  
80.              } else {  
81.                  // Send with platform character encoding  
82.                  parameterAsBytes = parameterAsString.getBytes();  
83.              }  
84.    
85.              setInternal(parameterIndex, parameterAsBytes);  
86.          }  
87.     } 

     Hql进行动态参数绑定也存在很多种其他方法：按参数名称绑定，按参数位置绑定， setParameter()方法等等。http://baike.baidu.com/link?url=NKt6I-Gk0HnyFRWyZ0_ZuDe0pz_aDqVul-VDJZCDCGl9K5LsBghBfxhPVJmZh9qmBKtXgY2EqAqK1oQUNK2Su_