如何在开发中避免SQL注入

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量2k 收藏 1
点赞数 2
分类专栏: mysql java 文章标签: sql注入 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MerGoing/article/details/76563111
版权

如何避免SQL注入攻击

可以使用Statement中的子接口实现类PreparedStatement来避免SQL注入攻击

PreparedStatement

表示预编译的SQL语句的对象,Sql语句是预编译的,并且存储在PreparedStatement对象中,这个对象可以多次有效的执行这个SQL语句。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class PreparedStatementDemo {

    private static String className = "com.mysql.jdbc.Driver";
    private static String password = "123";
    private static String user = "root";
    private static String url = "jdbc:mysql://localhost:3306/mydb";

    public static void main(String[] args) throws Exception {
        //注册驱动
        Class.forName(className);
        //获取连接数据库的对象
        Connection conn =  DriverManager.getConnection(url, user, password);
        String sql = "SELECT * FROM userInfo WHERE username=? AND password=?";
        //获取SQL语句执行对象
        PreparedStatement pst = conn.prepareStatement(sql);
        pst.setString(1, "zhangsan");
        pst.setString(2, "123456");

        ResultSet rs = pst.executeQuery();
        System.out.println("用户名\t密码");
        while(rs.next()) {
            System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
        }

        rs.close();
        pst.close();
        conn.close();
    }

}

在上面的代码里,?表示的是占位符,不再像Statement中那样直接使用变量

再后来的setXXX的时候XXX的类型要与数据库中的类型相一致, 否则会出错。

同时使用PreparedStatement之后不再向executeXXX()传递SQL语句参数。

使用PreparedStatement为数据表中新增一条数据

sql = "INSERT INTO userInfo(username, password) VALUES(?, ?)";
Scanner in = new Scanner(System.in);
String usernameStr = in.nextLine();
String passwordStr = in.nextLine();
pst = conn.prepareStatement(sql);
pst.setString(1, usernameStr);
pst.setString(2, passwordStr);
int len = pst.executeUpdate();
System.out.println("修改了"+len+"条数据!");
sql = " SELECT * FROM userInfo";
pst = conn.prepareStatement(sql);
rs =  pst.executeQuery();
System.out.println("用户名\t密码");
while(rs.next()) {
    System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
}

afterRun

MerGoing
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于SQL注入避免
12-14
 SQL注入攻击SQL Injection),简称注入攻击,是Web开发常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串,以提高应用程序的安全性。
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6294
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
防止SQL注入的四种方案
dehuisun的专栏
09-05 8259
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
如何防止SQL注入
m0_49521873的博客
05-23 2262
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免SQL语句直接拼接用户输入的数据。
SQL注入的常用方法有哪些呢?方法总结
2301_76418831的博客
05-01 2270
对输入数据进行过滤和验证,确保用户提供的数据符合预期的格式和类型。例如,可以使用正则表达式对输入数据进行验证,确保其只包含允许的字符。这些方法可以将SQL语句和用户提供的输入数据分开处理,从而防止恶意注入SQL代码。这个方法可以将输入数据的特殊字符转义成其转义字符,从而防止这些字符被误解释为SQL代码。应该为每个用户分配最小的权限,只允许其执行必要的操作,从而降低恶意注入SQL代码的风险。总之,防止SQL注入攻击需要在应用程序设计和开发过程采取一系列安全措施,保障Web应用程序的安全性。
SQL注入基础知识
01-18
SQL注入基础知识的学习,可以对你有很大的帮助,避免开发过程出现更多的安全问题
SQL注入攻击与防御
10-04
另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书主要内容  SQL注入一直长期存在,但最近有所增强。本书包含所有与SQL注入攻击相关的、当前已知的信息,凝聚了由本书...
SQL注入攻击与防御(安全技术经典译丛)
02-19
另外,本书还专门从代码层和系统层的角度介绍了避免SQL注入的各种策略和需要考虑的问题。  本书主要内容  SQL注入一直长期存在,但最近有所增强。本书包含所有与SQL注入攻击相关的、当前已知的信息,凝聚了由本书...
关于sql注入攻击介绍
02-21
本文介绍了主要的sql攻击手段,帮助广大网站程序开发同仁避免安全误区,规避网站开发的安全风险。
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8362
解决SQL注入的方法
四种防止SQL注入的解决方案
最新发布
weixin_43702295的博客
01-11 2185
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis#{}防止SQL注入对请求参数的敏感词汇进行过滤。
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
云博客_资源宝分享
02-13 8771
Nginx攻击防护、CC防护、防止SQL注入、防XSS的实践配置方法
【运维】利用Nginx进行防SQL注入
weixin_37543485的博客
09-15 942
Nginx不直接处理SQL注入,但可以在反向代理层面采取一些措施来增强安全性,主要是利用nginx配置文件nginx.confserver模块,减少SQL注入攻击的风险。将下面的Nginx配置文件代码放入到server块,然后重启Nginx即可。
如何避免 SQL 注入?
m0_68464502的博客
06-13 1364
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击
怎么防止SQL注入
。。。。
03-21 6798
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
完颜振江
12-12 547
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
SQL注入问题的解决方法
weixin_74094841的博客
05-06 412
SQL注入问题的解决方法
sql注入及一些处理方法
qq_40624650的博客
09-07 1803
SQL注入是什么,如何避免SQL注入
mybatis怎么避免sql注入
05-16
MyBatis 有一些内置的机制来帮助防止 SQL 注入攻击,下面是一些建议: 1. 使用参数化查询。...在实际开发,最好不要将用户输入的数据直接传递到 SQL 查询语句,而是使用上述方法来防止 SQL 注入攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值