SQL注入攻击
-- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功.
SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx';
-- sql注入: 请尝试以下 用户名和密码.
/* 用户名:
密码: xxx
*/
-- 将用户名和密码带入sql语句, 如下:
SELECT * FROM USER WHERE NAME='xxx' OR 1=1 -- ' and password='xxx';
-- 发现sql语句失去了判断效果,条件部分成为了恒等式.
-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.
//-------------------------------------------------------------------------------------------
思考会出现什么问题?
将用户名密码带入sql语句,发现sql语句变成了如下形式:
SELECT * FROM t_student WHERE NAME='abcd'OR 1=1;-- ' AND PASSWORD='1234';
该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患
如上问题,是如何解决呢?
1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.
2>sql语句不要再直接拼写.而要采用预编译的方式来做.
完成如上两步.即可解决问题.
*为什么使用PrepareStatement对象能解决问题?
sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译. 使用PrepareStatement对象
在执行sql语句时,会分为两步. 第一步将sql语句 "运送" 到mysql上编译. 再回到 java端 拿到参数 运送到mysql端.
用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;
PrepareStatement 在执行 母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.
-----------------------------------------------
使用PrepareStatement对象 与 Statement对象的区别
1.Statement 可以先行创建, 然后将sql语句写入.
PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译
api:
PreparedStatement pst = conn.prepareStatement(sql);
2. PrepareStatem
ent 在执行之前 先要设置 语句中的参数.
api:
pst.setString(1, name); -- set方法的调用要看 参数的类型.
char/varchar setString
int setInt
double setDouble
datatime/timestamp setDate
3. Statement对象在真正执行时 传入sql语句
PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数
api:
ResultSet rs = pst.executeQuery();
-----------------------------------------------------------------------------------------------
-- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功.
SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx';
-- sql注入: 请尝试以下 用户名和密码.
/* 用户名:
密码: xxx
*/
-- 将用户名和密码带入sql语句, 如下:
SELECT * FROM USER WHERE NAME='xxx' OR 1=1 -- ' and password='xxx';
-- 发现sql语句失去了判断效果,条件部分成为了恒等式.
-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.
//-------------------------------------------------------------------------------------------
思考会出现什么问题?
将用户名密码带入sql语句,发现sql语句变成了如下形式:
SELECT * FROM t_student WHERE NAME='abcd'OR 1=1;-- ' AND PASSWORD='1234';
该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患
如上问题,是如何解决呢?
1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.
2>sql语句不要再直接拼写.而要采用预编译的方式来做.
完成如上两步.即可解决问题.
*为什么使用PrepareStatement对象能解决问题?
sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译. 使用PrepareStatement对象
在执行sql语句时,会分为两步. 第一步将sql语句 "运送" 到mysql上编译. 再回到 java端 拿到参数 运送到mysql端.
用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;
PrepareStatement 在执行 母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.
-----------------------------------------------
使用PrepareStatement对象 与 Statement对象的区别
1.Statement 可以先行创建, 然后将sql语句写入.
PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译
api:
PreparedStatement pst = conn.prepareStatement(sql);
2. PrepareStatem
ent 在执行之前 先要设置 语句中的参数.
api:
pst.setString(1, name); -- set方法的调用要看 参数的类型.
char/varchar setString
int setInt
double setDouble
datatime/timestamp setDate
3. Statement对象在真正执行时 传入sql语句
PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数
api:
ResultSet rs = pst.executeQuery();
-----------------------------------------------------------------------------------------------
一个例子:演示使用Statement对象,sql注入问题,演示使用PrepareStatement对象,解决sql注入问题
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import org.junit.Test;
import cn.lbn.e_tool.JDBCUtils;
public class Demo {
@Test
//演示使用Statement对象,sql注入问题
public void fun1() throws Exception{
String name ="xxx' OR 1=1 -- ";
String password ="1234";
//1 获得连接
Connection conn= JDBCUtils.getConnection();
//2 获得Statement
Statement st = conn.createStatement();
//3 拼装sql语句
String sql = "SELECT * FROM t_user WHERE NAME='"+name+"' AND PASSWORD='"+password+"';";
//4 执行sql并拿到结果
ResultSet rs = st.executeQuery(sql);
//5 根据结果判断是否登录成功
if(rs.next()){
System.out.println("登录成功!");
}else{
System.out.println("登录失败!");
}
//6关闭资源
JDBCUtils.close(conn, st, rs);
}
@Test
//演示使用PrepareStatement对象,解决sql注入问题
public void fun2() throws Exception{
String name ="xxx' OR 1=1 -- ";
String password ="1234";
//1 获得连接
Connection conn= JDBCUtils.getConnection();
//2 拼装sql语句
String sql = "SELECT * FROM t_user WHERE NAME=? AND PASSWORD=?";
//3 获得PrepareStatement
PreparedStatement ps = conn.prepareStatement(sql);
//4 设置参数到ps对象中
ps.setString(1, name);
ps.setString(2, password);
//5 运送参数,执行sql并拿到结果
ResultSet rs = ps.executeQuery();
//5 根据结果判断是否登录成功
if(rs.next()){
System.out.println("登录成功!");
}else{
System.out.println("登录失败!");
注意:此处用了junit,如果粘到eclipse中@Test报红,只需要在java build path中切到library,然后Add Library选择JUnit,导入库即可。就可在一个类中做多个测试