配置文件之属性文件,sql漏洞的原因,sql注入的解决办法和原理,preparedStatement的增删改查语句,

最新推荐文章于 2022-03-30 23:33:06 发布
最新推荐文章于 2022-03-30 23:33:06 发布
阅读量463 收藏 1
点赞数
分类专栏: 一起学习持久层 文章标签: mysql sql 数据库 jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boss_way/article/details/78407518
版权

13  配置文件:

属性文件:

格式:扩展名是 .properties

内容: key = value

 

在工具类中获取文件

14  SQL漏洞的原因:

 存在or关键字和-- 注释

15  解决方法 preparedStatement  预处理(会对关键词进行转译)

编写SQL语句(预先编译,只能在问号的地方才能输入内容(并且一个问号输入的内容是一个字符串),并且即使有关键字当做普通内容)

String  sql = “select * from user where username = ? And password =?”;

设置参数:

pstmt.setString(1, username);表示把第一个问号替换成username

Pstmt.setString(2, password); 意思是把第二个问号替换成 password

16  preparedStatement 添加(插入)内容

在编写SQL语句的时候 用问号代替

Insert into user valuesnull,?,?,?,?);

然后依次设置每一个 替代问号的内容

pstmt.setString(1,”xxx”);   pstmt.setInt(2,23) 等等

17  Preparedstatement 修改操作

编写的修改的SQL语句

String  sql = “Update user set username = ? ,password = ? ,nickname=?, age =?, where id = ?”;

也是依次给问号赋值:pstmt.setString(1,”abcds”);  pstmt.setInt(5, 6);

18 删除操作

在获得连接之后,编写SQL语句

String sql = “delete from user where id =?”;

将想删除的id赋值给问号 :pstmt.setInt(1,5);

19 查询操作

Connection conn = null; 连接

preparedStatement pstmt = null; 预处理SQL语句对象

ResultSet rs = null; 结果集

获的连接之后,编写SQL语句

String sql = “select * from user”; 查询所有记录  查某一天就加where条件

预编译: pstmt = conn.preparedStatement(sql);

执行SQL rs = pstmt.executeQuery();

//编写SQL语句 添加插入语句

String sql ="insert into user values(null,'eee','1234','zhang',11)";

//编写SQL语句 修改语句

String sql ="update user set password='xiugaihou',nickname ='zhongguo' where id =4";

//执行SQL语句

int num =stmt.executeUpdate(sql);

//编写SQL语句 删除指定语句

String sql ="delete from user where id =5 ";

//执行SQL语句

int num =stmt.executeUpdate(sql);

if(num > 0){

System.out.println("删除数据成功");

}

 

insert into biaoming values (zhiliebiao);

delete from biaoming where tiaojian;

truncate table XXX

update XXX set ziduanming = zhi where tiaojian;

select * from XXX where tiaojian group by fenzuziduan having juhetiaojian order by ziduan;

show database;

show tables;

show create database XXX;

show create table XXX;

 

select * from XXX cross join XXX;

select * from XXX inner join XXX;

select * from XXX left outer join XXX on biao1.id = biao2.id;

select * from XXX1,XXX2 where XXX1.id = XXX2.id ;

Class.forName("com.mysql.jdbc.Driver");注册驱动

Connection conn = DriverManager.getConnection(url,user,password);获得连接

Statement stmt = conn.createStatement();创建SQL语句执行对象

String sql = "select * from XXX where id =4;编写SQL语句

rs = stmt.executeQuery(sql);执行SQL查询语句  rs.next)

rs2 = stmt.executeUpdate(sql);执行SQL曾 删 改 的语句 返回int类型  num >0

西方契约
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决SQL语句中含有中文字符无法查询问题
01-21
我在写JDBC的是时候,遇见了因为在SQL语句中含有中文无法运行的情况,于是我把这句话放到mysql客户端中测试,结果通过,我估计不是字符编码问题,是PreparedStatement这个接口做了一些我不知道的处理导致这个问题的...
导致SQL注入原因是?怎么避免SQL注入
冬雨春雪
05-14 2141
在一个登录页面随意输入一个账号,密码输入如下格式: * 用户名: abc * 密码:abc' or '1'='1 登录成功(若登陆成功则为SQL注入) 以上随意输入一个用户名和密码,登陆成功了,这种现象被称为SQL注入现象! 导致SQL注入原因是?如何解决? 导致SQL注入的根本原因是:用户不是一般的用户,用户是懂的程序的,输入的用户信息以及密码信息 中含有SQL语句的关键字,这个SQL语句的关键字和底层的SQL语句进行“字符创的拼接” 导致原SQL语句的含义被扭曲了,最最最主
防止sql注入漏洞PreparedStatement使用
kyooo0的博客
01-10 191
防止sql注入漏洞PreparedStatement使用 使用传统方法面临sql注入漏洞的风险 PreparedStatement可以防止 1.保存数据 public class JDBCDemo5 { @Test public void demo1(){ Connection conn = null; PreparedStatement pst...
web渗透测试----26、SQL注入漏洞--(1)原理
七天
08-26 5373
SQL注入漏洞
三种数据库SQL 注入详解
热门推荐
YT的博客
02-25 11万+
SQL 注入原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 SQL 注入分类 1. 数字型注入 当输入的参数为整型时,则有可能存在数字型注入漏洞。 假设存在一条 URL 为:HTTP://www.aaa.com/test...
SQL注入攻击介绍
99度灰的博客
03-30 2万+
SQL注入攻击介绍 一、SQL注入攻击简介 SQL注入攻击是指,后台数据库操作时,如果拼接外部参数到SQL语句中,就可能导致欺骗服务器执行恶意的SQL语句,造成数据泄露、删库、页面篡改等严重后果。按变量类型分为:数字型、字符型;按HTTP提交方式分为:GET注入、POST注入、Cookie注入;按注入方式分为:报错注入、盲注(布尔盲注、时间盲注)、堆叠注入等等。 二、SQL注入分类 按变量类型分类:如SQL语句为select *from user where param=1(数字型)、select *fr
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
如何防止SQL注入.pdf
最新发布
04-02
通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,确保它符合预期的格式。例如,如果你期待一个...
JDBC版本的增删改查
06-06
这次写的还是对单表的增 删 改 查 ,与version1.0版本不同的是PreparedStatement 接口,它是预编译的Sql语句对象,与 Statement 不同的是 PreparedStatement ...
sql2005 批量更新问题的解决方法
01-21
… sm.executeBatch() 用Statement的好处就是每次可以直接传一个SQL语句进去,不用管那么多。可是在数据量比较大的时候,应该会对效率有影响。不建议使用。 PreparedStatement ps = cn.preparedStatement(sql); { ...
SQL注入原因及其解决方法
zhanchulan的博客
08-19 902
SQL 注入产生的原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进 行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用 addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉 sql 语句中的一些关键词:update、insert、delete、selec
使用JDBC完成数据的增删改查
daqi1983的博客
11-28 913
一、创建javabean:User public class User { private int id; private String username; private String password; private String email; private Date birthday; //补充getter setter 二、创建操作数据库的工具类 public class JDBCUtils { // 加载驱动,并建立数据库连接 public static Connect
【安全】SQL注入和解决方法
Roda的博客
01-03 2万+
目录 SQL注入 1、SQL注入说明 2、SQL注入影响 3、SQL注入示例 4、SQL注入解决方法 SQL注入 1、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,...
sql注入2————对系统文件的操作
网络设备配置-华为
06-04 530
上一篇文档介绍了sql注入的一些原理和查询方式,这一篇算是作为一个拓展思路;并且这里重新介绍一种工具burpsuite,虽然也是利用url提交,但是更简洁一些 burpsuite准备 1、我们现在sql注入界面截断代理,随机提交一个参数;然后转向burp选择正确的请求;然后发送到repeater(如下图); 2、在repeater下选择params可以直接更改参数重复提交验证; 读取文件(假设...
jsp代码实例第243课
虾米大王的学习历程
01-07 129
code243.java package pack06; import java.sql.Connection; import java.sql.ResultSet; import java.sql.Statement; import java.util.ArrayList; //模拟UsersDao类 public class code243 { //新增插入 public boolean insert(code241 user) { Connection conn = null;
使用JDBC完成数据库的查询
qq_44242891的博客
05-25 1979
1、修改增加里面的内容然后实现对数据库里面信息得查询,粉红颜色的为新增加的内容 2、创建一个FindAll的java类进行测试 //完成对数据库增删改查 package dao; import qqq.JDBCUtils; import qqq.User; import java.sql.*; import java.text.SimpleDateFormat; import java.util.ArrayList; public class UsersDao { //提供一个添加方法 ...
preparedstatement增删改查
03-16
PreparedStatement是Java中的一个接口,用于执行SQL语句,可以实现增删改查等操作。通过PreparedStatement,我们可以预编译SQL语句,提高执行效率,同时也可以避免SQL注入等安全问题。在使用PreparedStatement时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值