验证preparedStatement防止SQL注入

最新推荐文章于 2023-01-31 20:57:38 发布
最新推荐文章于 2023-01-31 20:57:38 发布
阅读量5.1k 收藏 5
点赞数
分类专栏: java学习 文章标签: sql warnings mysql string exception import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/badyflf/article/details/7926944
版权 
mysql> select * from t_u
    -> ;
+----+----------+------+------+
| id | username | pwd  | age  |
+----+----------+------+------+
|  1 | zs       | test |   22 |
+----+----------+------+------+
1 row in set (0.14 sec)

mysql> update t_u set pwd = 'ddd\' or \'1\'=\'1' where id =1;
Query OK, 1 row affected (0.39 sec)
Rows matched: 1  Changed: 1  Warnings: 0

mysql> select * from t_u;
+----+----------+----------------+------+
| id | username | pwd            | age  |
+----+----------+----------------+------+
|  1 | zs       | ddd' or '1'='1 |   22 |
+----+----------+----------------+------+
1 row in set (0.06 sec)
java: 
package web;

import java.io.IOException;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet; 

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 

import util.DBUtil;

public class LoginServletSafe extends HttpServlet{ 
		public void service(HttpServletRequest req,
				 				HttpServletResponse res)
				throws ServletException,IOException{ 
			System.out.println("========================");
			Connection conn =null; 	
			try{
				conn = DBUtil.getConnection(); 
			String username = req.getParameter("username");
			String pwd =req.getParameter("pwd"); 
			String sql="select * from t_u where username = ? and pwd = ?";
			System.out.println(sql); 
			PreparedStatement prep= conn.prepareStatement(sql); 
			prep.setString(1, username);
			prep.setString(2, pwd); 
			//System.out.println("pwd的值:"+pwd);
			//若将pwd的值定义为:ddd' or '1'='1 
			//通过preparedStatement预编译后,执行的SQL语句将是:
			//select * from t_u where name = 'zs' 
			// and pwd ='ddd\' or \'1\'=\'1'
			
			 /**实现机制不同,注入只对sql语句的准备(编译?)过程有破坏作用
				而ps已经准备好了,执行阶段只是把输入串作为数据处理,不再
				需要对sql语句进行解析,准备,因此也就避免了sql注入问题.
				
				*PreparedStatement可以在传入sql后,执行语句前,给参数赋值,
				*避免了因普通的拼接sql字符串语句所带来的安全问题,而且准备sql
				*和执行sql是在两个语句里面完成的,也提高了语句执行的效率
				*/
			ResultSet rst= prep.executeQuery();
			
			System.out.println("rst: "+rst);
			//System.out.println("rst: "+rst.getStatement());
			//判断结果集rs是否有记录,并且将指针后移一位
			//因为前面的select语句是限定的条件,只有满足了条件才能有记录产生
			if(rst.next()){   
				System.out.println("success");
			}else{
				System.out.println("fail");
			}
			
			}catch(Exception e){
				e.printStackTrace();
				throw new ServletException(e);
			}
			
			
		}


}

然后在JSP页面中,name的取值为zs,pwd的取值为:ddd' or '1'='1 

提交后,控制台打印出:success,就表示,pwd的值是当成参数值来传递了,相当于执行了以下的SQL语句。


mysql> select * from t_u where username='zs' and pwd = 'ddd\' or \'1\'=\'1';
+----+----------+----------------+------+
| id | username | pwd            | age  |
+----+----------+----------------+------+
|  1 | zs       | ddd' or '1'='1 |   22 |
+----+----------+----------------+------+
1 row in set (0.00 sec)

验证完毕,一直纠结网络上也没有这么的详细的解释,自己弄明白后,豁然开朗。^_^

TBNoO
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
如何防止SQL注入.pdf
04-02
防止SQL注入主要依赖于以下几种方法: 1. 使用参数化查询(预编译语句) 参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理...
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 759
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2896
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1386
PreparedStatement对象解决sql注入问题
SQL注入及PreparedStatement
qq_52722789的博客
01-12 402
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8052
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
一篇搞定JDBC【Mysql基础】
12-14
解决SQL注入的问题用户登录改进后6.对比Statement和PreparedStatement7.演示只能使用Statement对象不能使用PreparedStatement的业务需求用户输入sql语句8.JDBC事务控制三段重要代码应用于数据库用户之间的转账9.悲观...
最新Java面试宝典pdf版
08-31
23、JDBC中的PreparedStatement相比Statement的好处 110 24. 写一个用jdbc连接并访问oracle数据的程序代码 111 25、Class.forName的作用?为什么要用? 111 26、大数据量下的分页解决方法。 111 27、用 JDBC 查询学生...
Java面试宝典-经典
03-28
23、JDBC中的PreparedStatement相比Statement的好处 110 24. 写一个用jdbc连接并访问oracle数据的程序代码 111 25、Class.forName的作用?为什么要用? 111 26、大数据量下的分页解决方法。 111 27、用 JDBC 查询学生...
Java面试宝典2010版
06-27
23、JDBC中的PreparedStatement相比Statement的好处 24. 写一个用jdbc连接并访问oracle数据的程序代码 25、Class.forName的作用?为什么要用? 26、大数据量下的分页解决方法。 27、用 JDBC 查询学生成绩单, 把主要...
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1014
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:StatementSQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 768
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
【很有料】浅析Statement和PreparedStatementSQL注入
daobuxinzi的博客
10-19 424
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1446
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2512
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2079
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
PreparedStatement可以防止sql注入的原因
u011649691的博客
10-15 5533
之前没深究这个问题,看其他人的回答,总结原因有: 1、PreparedStatement是预编译的 2、PreparedStatement参数不是简单拼接生成sql,而是先用?占位,之后再根据参数产生sql 但是上述原因都禁不起深究,毕竟不论是PreparedStatement还是Statement不都是最终传sql进数据库么?以上两个原因都无法避免sql注入。 深究一下,特别是查看网页 http...
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1210
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里和大家一起学习
Oracle 使用PreparedStatement防止SQL注入
每天进步一点点 时间会让你成为巨人
01-05 9378
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
java防止sql注入
最新发布
09-30
Java中可以采用以下几种方法来防止SQL注入攻击: 1. 使用预编译语句(Prepared Statement):使用占位符?代替查询语句中的参数,然后使用PreparedStatement对象的setString()方法设置输入参数的值。这样,输入的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值