Всем привет!

Есть запрос вида:

query.append("select id");
query.append("from users");
query.append("where login='"+login+"' and password='"+password+"'");

login/password приходят от юзера, юзер считается авторизованным если запрос вернул хотя бы одну запись.

Вопрос в следующем, является ли экранирование символа ' 100% защитой от иньекции?

Т.е. модифицированный защищеный код будет выглядить слещующим образом:
query.append("select id");
query.append("from users");
query.append("where login='"+login.replaceAll("'","\\\\'")+"' and password='"+password.replaceAll("'","\\\\'")+"'");

Такое экранирвование делает невозожным OR иньекцию простейшего вида:
login="1"
password="' or 'a'='a"

Существуют ли другие варианты? Есть идея использовать фукнцию chr() которая по коду символа возвращает сам символ, или не получится?

Забыл сказать, запрос уходит в PosgtreSQL через JDBC драйвер

Ладно, это понятно

Вопрос в другом, как эту потенциальную уязвимость сделать реальной?

Отвечаю сам себе, запрос уязвим, поскольку для:

login="\\"
password=" or 1=1 ; -- "

условие в where становится истинным...

Можете подсказать алгоритм, по которому работает параметризированный запрос.
Я так понимаю, что:

1. Java отправляет в БД параметризированный запрос, БД строит план запроса и возвращает приложению некоторый идентификатор этого запроса
2. Приложение формирует набор значений параметров и подставляет их в запрос данным идентификатором
3. Приложение дает команду выполнить запрос

Я прав?

Тогда вопрос, что, Джава или БД, в данном случае гарантирует экранирование спец. символов?

А в случае постгрес?

Насколько я понял setEscapeProsessing() имеет смысл только для "обычного" Statement (не для PreperadStatement), поскольку экранируются вся строка запроса.

Поэтому вопрос с тем, кто и как занимается экранированием параметров при использовании PreparedStatement остается открытым :)