预编译解决sql的注入攻击PrepareStatement

最新推荐文章于 2024-02-23 08:00:00 发布
最新推荐文章于 2024-02-23 08:00:00 发布
阅读量740 收藏
点赞数
分类专栏: JAVA 进阶之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014010769/article/details/46687269
版权

SQL注入攻击:
由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击

1.登陆的数据库实现代码:

public User findUserByUserNameAndPassword(String username, String password) {
		try {
			<span style="color:#ff0000;">String sql="select * from users where username='"+username+"'and password='"+password+"'"</span>;
			con=JDBCUtils.getConnection();
			sta =con.createStatement();
			rs=sta.executeQuery(sql);
			if(rs.next()){
				User user=new User();
				user.setId(rs.getInt("id"));
				user.setUsername(rs.getString("username"));
				user.setNickname(rs.getString("nickname"));
				user.setEmail(rs.getString("email"));
				return user;
			}else{
				return null;
			}
			
		} catch (SQLException e) {
			e.printStackTrace();
			throw new RuntimeException();
		}finally{
			JDBCUtils.closeResource(rs, sta, con);
		}
	}

2.登陆界面:我的数据库中已经添加了dd的用户名和密码为dd的密码用户,但是我在用户名输入框中填写dd'#的时候不输入密码也能登陆。这是什么原因呢?我们找到数据库中影响这个的代码:String sql="select * from users where username='"+username+"'and password='"+password+"'";如果加上'#:相当于把后面的注释掉了。因此只需要判断用户名正确就可以了!




3.为了解决这种攻击我们可以采用使用PrepareStatement

PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,关键字不会起作用,从而从原理上防止了sql注入的问题.

PrepareStatement案例:

package cn.itheima.jdbc;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

import cn.itheima.utils.JDBCUtils;

public class JDBCDemo5 {
	public static void main(String[] args) {
		Connection con=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		try {
			con=JDBCUtils.getConnection();
			ps=con.prepareStatement("select * from user where name=? ");
			ps.setString(1, "韩玮");
			rs=ps.executeQuery();
			//1.查询了数据形成一个表
			//rs指向查询出的数据表的前一行
			if(rs.next()){
				String id = rs.getString("id");
				String name=rs.getString("name");
				String birthday=rs.getString("birthday");
				System.out.println(id+":"+name+":"+birthday);
			}
		} catch (Exception e) {
			e.printStackTrace();
			throw new RuntimeException();
		}finally{
			JDBCUtils.closeResource(rs, ps, con);
		}
		
	}
}
语句中的参数部分全部使用?然后使用ps.setXXX方法来设置参数

李卫康的博客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
JavaWeb篇之二------sql注入的原理和解决方法(预编译
qq_42077566的博客
10-17 457
引言 在上一篇最末,我展示了sql注入现象,接下来我们来探究sql注入的本质原理 Sql注入解决方法 我们打个断点,debug调试一下(不清楚代码的可以看上一篇) 我们可以看到“泊进之介”和“or ‘1’=‘1’”被拼接在一起作为s2对象 而最后的sql查询语句就变成了 “select * from KamenRider where ridername=‘Driver’ and use...
SQL注入——预编译CASE注入
来日可期的博客
09-25 1470
预编译 CASE(Prepared CASE)是一种数据库查询语言(如SQL)中的控制语句,它可以根据条件表达式的值来选择执行不同的语句块,类似于编程语言中的 switch 语句。预编译 CASE 注入则是一种基于预编译 CASE 语句的安全漏洞攻击预编译 CASE 注入攻击的漏洞原理与其他类型的注入攻击相似,即攻击者尝试构造特定的输入数据来绕过应用程序的输入验证和过滤机制,从而能够执行未经授权的操作或获得敏感信息等。在预编译 CASE 注入攻击中,攻击者通常会针对应用程序中存在的具有条件判断语句
SQL注入:使用预编译防御SQL注入时产生的问题
qq_68163788的博客
02-23 1089
预编译防御SQL注入是一种常用的防御SQL注入攻击的方法,通过将SQL查询语句预先编译成一个模板,然后将用户输入的数据作为参数传递给模板,从而避免了直接拼接用户输入数据到SQL查询语句中。然而,预编译防御SQL注入也存在一些问题。首先,预编译语句的性能问题是一个挑战,因为预编译语句需要在数据库中进行编译和优化,这可能会增加数据库的负担和查询时间,影响系统的性能。其次,预编译语句的复杂性也是一个问题,因为需要事先定义好SQL查询语句的结构,然后将用户输入的数据与模板进行匹配,增加了代码的复杂性和维护成本。
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
防止sql注入方法之预编译
波波豆奶
06-08 938
PreparedStatement预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
为啥预编译SQL能够防止SQL注入
ma_nong33的博客
03-04 1256
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。作为条件的字段有哪些?在默认情况下是假的“预编译”,它只不过在设置参数的时候帮我们对参数做了一下转义,但是最后发送到数据库的依然是普通的 SQL,而不是按预编译 SQL 的方式去执行。
sql注入预防,参数化预编译示例
05-07
sql注入防护,预编译示例
MySQL预编译功能详解
12-16
本文为大家分享了MySQL预编译功能,供大家参考,具体内容如下 1、预编译的好处  大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢?  当客户发送一条SQL语句...
参数化查询为什么能够防止SQL注入
03-01
首先:我们要了解SQL收到一个指令后所做的事情:具体细节可以查看文章:SqlServer编译、重编译与执行计划重用原理在这里,我简单的表示为:收到指令->编译SQL生成执行计划->选择执行计划->执行执行计划。具体可能...
预编译sql注入
weixin_54855337的博客
12-05 2774
预编译sql注入
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网站,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
现在SQL注入死透了吗?
2301_77147676的博客
03-30 1132
就算是有经验的程序员,在快速上线的压力下,也没有时间再去考虑信息安全的问题。1.预编译不能解决所有SQL注入:比如表名/列名/排序动态传入的场景,原因是这些地方不能预编译,因此很多人还是直接拼接的,且囿于对预编译的信赖,从外到里没有过滤。需要对所有的异常情况进行捕获,切记接口直接返回异常信息,因为有些异常信息中包含了sql信息,包括:库名,表名,字段名等。最后,其实我想说的是,就新开发的系统来说,SQL注入漏洞确实越来越少了,做到这一点的不是大家的安全意识增强,都知道使用预编译了,而是。
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2533
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
预编译SQL注入
weixin_50968698的博客
09-23 932
预编译SQL注入
编译预处理机制(SQL注入问题解决原理)
lf1949的博客
03-24 2519
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
sql注入预编译
qq_61109509的博客
02-25 1798
sql预处理就是提前告诉sql语法处理器,提前声明且编译特定格式的sql语句,将所有用户的输入视为纯字符串参数,最后组成查询语句 php使用预处理的步骤 1,连接到数据库 2,设置预处理语句的结构 3,用户输入 4,执行sql语句 $stmt=$conn->prepare('SELECT 1 FROM user WHERE username=? AND password=?'); //设置预处理的语句结构,?表示要填入的用户输入 $input_username="root"; $.
预编译防止sql注入
热门推荐
mbtlami
05-17 1万+
使用PreparedStatement 怎么使用PreparedStatement?如何避免SQL注入攻击?PreparedStatementStatement有什么区别,有什么样的优势? [TOC] JDBC连接数据库操作步骤 public class JDBCTest { public static void main(String[] args) { ...
sql注入 预编译举例
最新发布
03-15
SQL注入是一种常见的安全漏洞,它允许攻击者通过在应用程序的输入字段中插入恶意的SQL代码来执行非授权的数据库操作。攻击者可以利用这个漏洞来绕过应用程序的身份验证、获取敏感数据或者修改数据库中的数据。 为了防止SQL注入攻击,可以使用预编译语句(Prepared Statement)来处理用户输入。预编译语句是一种在执行之前将SQL查询和参数分开的机制,它可以有效地防止SQL注入攻击。 下面是一个使用预编译语句的示例(以Java为例): ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, userInputUsername); statement.setString(2, userInputPassword); ResultSet resultSet = statement.executeQuery(); ``` 在上面的示例中,`?` 是占位符,表示参数的位置。通过使用`setString`方法,我们可以将用户输入的值安全地传递给预编译语句,而不会被解释为SQL代码。这样可以有效地防止SQL注入攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值