如何解决SQL注入问题

最新推荐文章于 2024-04-04 17:24:59 发布
最新推荐文章于 2024-04-04 17:24:59 发布
阅读量2.6k 收藏 14
点赞数 3
分类专栏: 笔记 文章标签: java jdbc 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aixiaohuangren/article/details/118795991
版权

一.什么是SQL注入问题?

在刚开始学习JDBC的六大步骤中其中我们在第三步(获取数据库操作对象)我们通常会执行以下操作:
要执行SQL语句,首先需要获得java.sql.Statement实例
执行静态SQL语句。通常通过Statement实例实现。

Statement stmt = conn.createStatement() ;

但是这样会出现一个很大的纰漏,这个纰漏会导致一系列的安全问题,这就被称为SQL注入问题。

二.SQL注入实例

例如我后台的sql语句为

"select * from s_student where loginName = '"+loginName+"' and loginPwd = '"+loginPwd+"'";

然后我随便输入一个用户名,但是只要密码输入的有讲究点

loginName = fasd;
loginPwd = fasd' or '1'='1;

因为1=1这条语句是一个永真式,且逻辑连接词使用的or,这样一来无论前面是什么loginPwd这个值一定为1,这样就将前面select语句的where条件恒为1,就相当于将前面的select语句给废了。

String Sql="select * from s_student where loginName = '"+fasd+"' and loginPwd = '"+fasd' or '1'='1+"'";

这样子我们可以绕过登录,去做一些危害网站的事情。

三.SQL注入的根本原因
其实发生SQL注入的根本原因并非是我们编写了loginPwd = fasd’ or ‘1’=‘1这条语句,究其根本是因为fasd’ or ‘1’='1这条语句被当作了sql语句的一部分被编译进去了

rs = stam.executeQuery(sql);

程序在执行到上面这行语句时,会将sql语句发送给DBMS(数据库管理系统),然后DBMS会将sql语句进行编译,但此时已经晚了,因为此时用户已经将一些非法语句拼接进了sql语句当中去,这样就会发生SQL注入。

四.如何解决SQL注入的问题?

  1. 我们可以利用正则表达式来防止用户输入一些非法字符,例如(‘=’,‘or’等)

  2. 在JDBC中,使用Statement的子类PreparedStatement进行预编译

    我们可以事先将sql语句传入PreparedStatement中,将要传入到sql语句中的参数使用?(占位符)来代替,那么该sql语句就会进行预编译,之后将获取的参数通过PreparedStatement中的set(类型)方法传入编译后的sql语句中,这样sql语句就会先被编译再进行传值,用户输入的信息不会直接参与到sql语句的编译当中,就防止了sql注入的问题。

 ps = conn.prepareStatement("select * from s_student where name = ? and password = ?");
            //一个问号表示一个占位符将来接收一个值
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            rs = ps.executeQuery();
Aixiaohuangren
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
Sql注入基础原理介绍(超详细)
weixin_30325487的博客
09-06 4257
一、Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 二、Web 程序三层架构 三层架构(3-tier architecture) 通常意义上就是将整个业务应用划分为: 界面层(User Interface layer) 业务逻辑层(Business Logic...
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1292
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
SQL注入问题解决(PreparedStatement)
最新发布
2401_83330354的博客
04-04 885
最近我根据上述的技术体系图搜集了几十套腾讯、头条、阿里、美团等公司21年的面试题,把技术点整理成了视频(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。// SQL语句的框架,其中一个?将来接收一个“值”,注意占位符不能用单引号括起来。// 程序运行到此处,会发送sql语句框架传给DBMS,然后DBMS对sql语句进行预编译。System.out.println(“请输入账号:”);System.out.println(“请输入密码:”);
03-MySQL之JDBC【jdbc使用过程、自定义JdbcUtil类、jdbc事务、sql注入、PreparedStatement类、c3p0和Druid连接池】
欢迎来到编程小栈
04-22 376
文章目录一、JDBC1、JDBC简介2、JDBC核心API使用01)JDBC注册驱动**显式注册驱动****隐式注册驱动**02)JDBC连接数据库03)JDBC操作数据库04)JDBC数据查询小结3、自定义JDBCUtil工具类4、JDBC事务5、SQL注入6、PreparedStatement解决SQL注入7、JDBC调用存储过程(了解)8、三层开发业务分析9、执行DQL查询结果封装成集合的操作10、连接池**01)单次创建连接的问题****02)连接池解决现状问题的原理****04)连接池好处****
Java SQL注入危害这么大,该如何来防止呢?
qq_42575330的博客
04-14 680
简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 JDBC 介绍 JDBC: 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 J...
SQL注入问题
zijikanwa
05-17 234
文章目录一. Statement对象二. preparedStatement对象三. MyBatis是否可以防止SQL注入1. MyBatis中SQL注入问题2. MyBatis中解决SQL注入三. 必须使用`${}`格式的情况四. 总结参考资料 一. Statement对象 说明:SQL注入只对SQL语句的编译过程有破坏作用 代码 public static void login(String username,String password){ Statement st = conn.c
4.0 如何解决SQL注入问题
GabrielCP的博客
05-01 365
** 创建一个用户类,然后模拟用户输入账号密码然后登陆这一操作。 ** public class User { private String user; private String password; public User() { } public User(String user, String password) { super(); this.user = use...
如何解决sql注入问题
qq_33824312的博客
07-28 1105
Java防止SQL注入SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处
解决sql注入问题
weixin_62246390的博客
03-20 1398
sql注入是黑客常用的方法,如果不解决会在某种程度上造成利益损失,以下为解决方法: 只要用户提供的信息不参与SQL语句的编译过程,问题解决了. 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement PreparedStatement接口继承了java.sql.Statement PreparedStatement是属于预编译的数据库操作对象 PreparedStatement...
如何解决SQL注入
jj89929665的博客
11-11 291
如何解决SQL注入? 一.什么是sql注入 SQL注入是一种网络攻击方式,是程序猿编写疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 二.如何实现SQL注入攻击 寻找SQL注入位置 判断服务器类型和数据库类型 针对不同的服务器数据库特点进行SQL注入攻击。 三.攻击实例 String sql = select * from user_table where username='"username"' and password = '"password"'; 这样输入之后 就相当于 1 =
通过ibatis解决sql注入问题
08-29
主要介绍了通过ibatis解决sql注入问题,需要的朋友可以参考下
pymysql如何解决sql注入问题深入讲解
09-09
主要给大家介绍了关于pymysql如何解决sql注入问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考价值,需要的朋友们下面随着小编来一起学习学习吧
mybatissql_mybatis解决sql注入
12-22
全新的sql框架
Nginx中防止SQL注入攻击的相关配置介绍
09-30
主要介绍了Nginx中防止SQL注入攻击的相关配置介绍,文中提到的基本思路为将过滤的情况用rewrite重订向到404页面,需要的朋友可以参考下
用了MyBatis就不会发生SQL注入风险吗?
空空说技术的博客
05-17 4732
用了MyBatis就不会发生SQL注入风险吗? SQL注入问题是很久的事情了,而且现在mybatis,hibernate等框架使用较为成熟了,但是作为一个T新手肯定要对一些本质上的安全问题从新从头梳理一下。 本文主要说SQL注入中的Statement对象,PreparedStatement对象,和mybatis的注入风险 \color{red}{本文主要说SQL注入中的Statement对象,PreparedStatement对象,和mybatis的注入 风险 ~ }本文主要说SQL注入中的Sta
jdbc的增删改查
ne_123456的博客
05-19 1210
1.查询数据库表中记录。 @Test //理解为main函数。可以独立运行。 public void testQuery() throws Exception { //抛出异常只是为了操作方便。真正在开发时应该try--catch Class.forName("com.mysql.cj.jdbc.Driver"); Connection conn = DriverManager.getConnection ("jdbc:mysql://localhost:3306/mydb?serv
SQL注入以及解决方法
阳young的博客
01-26 7505
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入的现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
【安全】SQL注入解决方法
热门推荐
Roda的博客
01-03 2万+
目录 SQL注入 1、SQL注入说明 2、SQL注入影响 3、SQL注入示例 4、SQL注入解决方法 SQL注入 1、SQL注入说明 应用为了和数据库进行沟通完成必要的管理和存储工作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值