sql注入问题解决——PrepareStatement

最新推荐文章于 2024-05-06 18:26:10 发布
最新推荐文章于 2024-05-06 18:26:10 发布
阅读量4.1k 收藏 12
点赞数 3
分类专栏: java 文章标签: java jdbc 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LeeBingNing/article/details/79080476
版权

SQL注入攻击

-- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功.


SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx';


-- sql注入: 请尝试以下 用户名和密码.


/* 用户名:
   密码: xxx
*/
-- 将用户名和密码带入sql语句, 如下:


SELECT * FROM USER WHERE NAME='xxx' OR 1=1 -- ' and password='xxx';


-- 发现sql语句失去了判断效果,条件部分成为了恒等式.
-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.
//-------------------------------------------------------------------------------------------
思考会出现什么问题?
将用户名密码带入sql语句,发现sql语句变成了如下形式:
SELECT * FROM t_student WHERE NAME='abcd'OR 1=1;-- ' AND PASSWORD='1234';
该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患

如上问题,是如何解决呢?
1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.
2>sql语句不要再直接拼写.而要采用预编译的方式来做.
完成如上两步.即可解决问题.
*为什么使用PrepareStatement对象能解决问题?
sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译.   使用PrepareStatement对象
在执行sql语句时,会分为两步. 第一步将sql语句 "运送" 到mysql上编译.  再回到 java端 拿到参数 运送到mysql端.
用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;
PrepareStatement 在执行 母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.

-----------------------------------------------
使用PrepareStatement对象 与 Statement对象的区别

1.Statement 可以先行创建, 然后将sql语句写入.
  PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译
  
api:
PreparedStatement pst = conn.prepareStatement(sql);
  
2. PrepareStatem

ent 在执行之前 先要设置 语句中的参数. 

api: 
pst.setString(1, name);  -- set方法的调用要看 参数的类型.

char/varchar    setString
int setInt
double setDouble
datatime/timestamp setDate
3. Statement对象在真正执行时 传入sql语句
   PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数

api:
ResultSet rs = pst.executeQuery();
-----------------------------------------------------------------------------------------------

一个例子:演示使用Statement对象,sql注入问题,演示使用PrepareStatement对象,解决sql注入问题

 

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;

import org.junit.Test;

import cn.lbn.e_tool.JDBCUtils;
public class Demo {
	@Test
	//演示使用Statement对象,sql注入问题
	public void fun1() throws Exception{
		String name ="xxx' OR 1=1 -- ";
		String password ="1234";
		
		//1 获得连接
		Connection conn= JDBCUtils.getConnection();
		//2 获得Statement
		Statement st = conn.createStatement();
		//3 拼装sql语句
		String sql = "SELECT * FROM t_user  WHERE NAME='"+name+"' AND   PASSWORD='"+password+"';";
		//4 执行sql并拿到结果
		ResultSet rs = st.executeQuery(sql);
		//5 根据结果判断是否登录成功
		if(rs.next()){
			System.out.println("登录成功!");
		}else{
			System.out.println("登录失败!");
		}
		//6关闭资源
		JDBCUtils.close(conn, st, rs);
	}
	
	@Test
	//演示使用PrepareStatement对象,解决sql注入问题
	public void fun2() throws Exception{
		String name ="xxx' OR 1=1 -- ";
		String password ="1234";
		
		//1 获得连接
		Connection conn= JDBCUtils.getConnection();
		//2 拼装sql语句
		String sql = "SELECT * FROM t_user  WHERE NAME=? AND   PASSWORD=?";
		//3 获得PrepareStatement
		PreparedStatement ps = conn.prepareStatement(sql);
		//4 设置参数到ps对象中
		ps.setString(1, name);
		ps.setString(2, password);
		//5 运送参数,执行sql并拿到结果
	ResultSet rs = 	ps.executeQuery();
		//5 根据结果判断是否登录成功
		if(rs.next()){
			System.out.println("登录成功!");
		}else{
			System.out.println("登录失败!");
注意:此处用了junit,如果粘到eclipse中@Test报红,只需要在java build path中切到library,然后Add Library选择JUnit,导入库即可。就可在一个类中做多个测试



今天周一天气晴
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pymysql如何解决sql注入问题深入讲解
09-09
主要给大家介绍了关于pymysql如何解决sql注入问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考价值,需要的朋友们下面随着小编来一起学习学习吧
DB2 Error Messages (Sorted by SQLCODE)
weixin_34341229的博客
08-02 2366
DB2 Error Messages (Sorted by SQLCODE) DB2 Error Messages (Sorted by SQLCODE) SQLCODESQLSTATEDescription 000 00000 The SQL statement finished successfully. 01xxx The SQL statemen...
Eclipse FindBugs插件安装与使用
menghuannvxia的专栏
06-26 783
前言:白盒测试中的静态检查一般是检查编码标准规范,错误列表。编码规范往往团队会根据自己的经验和风格进行设置一些规范。现在很多IDE工具都会在编辑代码的时候实时的提醒是否符合代码风格。错误列表,一般是代码潜在的bug,由于某种代码写法虽然没有语法错误,但是可能存在错误,比如会导致线程死锁。这些都是错误列表应该检查的。静态检查的可操作方式有人工代码走查和软件代码扫描。使用软件对我们的代码进行扫描,查找...
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2102
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
findBugs常见错误中文解读
weixin_42630551的博客
04-23 1754
rule.findbugs.DMI_FUTILE_ATTEMPT_TO_CHANGE_MAXPOOL_SIZE_OF_SCHEDULED_THREAD_POOL_EXECUTOR.name=错误用法 - 尝试修改ScheduledThreadPoolExecutor的最大数。rule.findbugs.NP_NULL_PARAM_DEREF_ALL_TARGETS_DANGEROUS.name=错误用法 - 方法调用传递null给非空参数 (ALL_TARGETS_DANGEROUS)
Findbugs 缺陷详解与英文代号的对照表
kuyuyingzi的专栏
08-02 1635
最近的工作中涉及到了 findbugs 的使用,从官方网站上下载了二进制包之后,仔细阅读了下它们的文档,并且小小的尝试了下 findbugs 的几种使用方法。如果使用 eclipse 插件或者图形界面的形式,界面上会显示出每個 BUG 的详细说明以及修改建议。但是如果将 BUG 列表以文档的形式导出之后,发现里面只有 BUG 的错误类型代码,而没有具体的说明,使用起来颇为不便,所以我就在网上找了找...
A prepared statement is generated from a nonconstant String
苍月
01-08 6134
Findbugs报错: A prepared statement is generated from a nonconstant String The code creates an SQL prepared statement from a nonconstant String. If unchecked, tainted data from a user is used in
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 3323
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
sql注入
musi_m的博客
06-14 1030
sql注入1 sql注入2 防止sql注入    2.1使用prepareStatement+Bind-Variable    2.2 使用应用程序提供的转换函数    2.3 自定义函数校验 1 sql注入 SQL注入就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的,如下实例: 1)创建用户表 create table
SQL注入漏洞全接触——高级篇.txt
02-13
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 1.有些人会过滤...
SQL注入简单总结——过滤逗号注入.pdf
04-08
SQL注入简单总结——过滤逗号注入
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
链表刷题集
yajunjiao的专栏
04-30 854
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1383
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Linux下网络编程-简易Epll服务器和客户端
最新发布
weixin_45256307的博客
05-06 216
Linux下网络编程-简易Epll服务器和客户端
《设计一款蓝牙热敏打印机》
唐顺才的博客
05-06 117
安卓apk用java + kotlin编写、上位机用Qt编写。主控芯片用易兆威蓝牙ic,通讯接口:蓝牙、串口、usb。
一篇文章,系统性聊聊Java注解
架构风清扬
05-06 604
一篇文章,系统性聊聊Java注解
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 1189
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
preparestatement sql注入
03-16
好的,以下是使用PreparedStatement进行SQL输入的示例代码: ``` String sql = "INSERT INTO mytable (column1, column2, column3) VALUES (?, ?, ?)"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, "value1"); statement.setInt(2, 123); statement.setDouble(3, 45.67); statement.executeUpdate(); ``` 这里的`sql`是一个带有占位符的SQL语句,占位符用问号`?`表示。在`PreparedStatement`对象创建后,通过`setXXX()`方法设置每个占位符对应的值,其中`XXX`表示数据类型,例如`setString()`用于设置字符串类型,`setInt()`用于设置整数类型,`setDouble()`用于设置浮点数类型等等。最后,通过`executeUpdate()`方法执行SQL语句,完成数据插入的操作。 需要注意的是,使用`PreparedStatement`可以有效地防止SQL注入攻击,因为占位符的值会被自动转义,避免恶意输入对数据库造成危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值