JDBC编程——SQL注入问题以及解决方案

已于 2022-09-05 21:38:33 修改
阅读量924 收藏
点赞数 4
分类专栏: JDBC编程 连接数据库 SQL注入 文章标签: sql 数据库 java
于 2022-09-05 21:32:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Best_Basic/article/details/126713802
版权

一、在JDBC 连接数据库方面存在一个问题:SQL注入(安全隐患)

SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

比如在我们用户登录 的时候,使用到了以下的登录密码:

/*用户名:sa
密码:ds' or '1'='1
登录成功*/
//select * from t_user where loginname='sa'and loginpw='ds' or '1'='1'
这里的密码使用到了SQL语句关键字:or,数据库服务器把它当作了sql语句来执行,导致用户登陆成功。这种现象被称为sql注入(黑客常用)

  • SQl注入安全隐患的根本原因是:

    • 用户输入的信息中含有sql语句的关键字并且这些关键字参与sql语句的编译过程导致sql语句的意愿被扭曲,进而达到sql注入。

二、解决SQL注入问题的方案:

只要用户提供的信息不参与sql语句的编译过程,问题就解决了。   即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。

要想用户信息不参与SQL语句的编译,那么必须要使用java.sql.PreparedStatement

PreparedStatement接口继承了java.sql.Statement

PreparedStatement是属于预编译的数据库对象

PreparedStatement的原理是:预先对SQL语句的框架进行编译。然后再给SQL语句传“值”

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
/*解决SQL注入问题:
* 测试结果:
*       用户名:sa
        密码:ds' or '1'='1
        登录失败
    */
public class JDBCtest {
    public static void main(String[] args) {
        //初始化一个界面
        Map<String, String> userloginInfo = initUI();
        //验证用户名和密码
        Boolean loginSuccess = login(userloginInfo);
        System.out.println(loginSuccess?"登录成功":"登录失败");
    }
    /**
     * 用户登录
     * @param userLogin 用户登录信息
     * @return false表示失败,true表示成功,
     */
    private static Boolean login(Map<String, String> userLogin) {
        //标识变量
        Boolean flag =false;
        //JDBC代码
        ResultSet rs = null;
        PreparedStatement ps = null;
        Connection conn = null;
        //单独定义变量
        String loginname = userLogin.get("loginname");//获取用户输入的Map集合里面的“key”
        String loginpw = userLogin.get("loginpw");
        try {
            //1、注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/sql", "root", "123456");
            //3获取预编译的数据库操作对象
//SQL语句的框架这,两个?我们称为”占位符“,一个?表示一个占位符,一个?只能接受一个值,注意:?不能用单引号括起来。
            String dml = "select * from t_user where loginname=? and loginpw=?";
            //程序执行到此处,会发送SQL语句框架给DBMS,然后DBMS会进行对SQL语句的预编译
            ps = conn.prepareStatement(dml);
            //编译完成之后,就要对SQL语句“占位符?”进行传值(只编译一次)
            //(第一个?下标是1,第二个?下标是2,JDBC中所有的下标都是从1开始的.
            ps.setString(1,loginname);
            ps.setString(2,loginpw);
            //4、执行sql
            rs = ps.executeQuery();
            //5处理结果集
            if (rs.next()){
                flag= true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            //6释放资源
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
                try {
                    if (ps!= null) {
                        ps.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
                try {
                    if (conn != null) {
                        conn.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            return flag;
        }
    }
        /**
         * 初始化用户界面
         * @return 输入用户名和密码等信息;
         */
        private static Map<String, String> initUI () {
            Scanner s = new Scanner(System.in);
            System.out.print("用户名:");
            String loginname = s.nextLine();
            System.out.print("密码:");
            String loginpw = s.nextLine();
            //把用户名和密码组装到Map集合中去:
            Map<String, String> userloginMap = new HashMap<>();
            userloginMap.put("loginname", loginname);
            userloginMap.put("loginpw", loginpw);
            return userloginMap;
        }
}

三、Statement和preparedStatement的对比

  • Statement存在SQl注入问题,preparedStatement解决了该问题

  • Statement是编译一次执行一次,preparedStatement是编译一次可执行N次,preparedStatement效率较高

  • preparedStatement会在编译阶段做类型的安全检查。

综上所述,preparedStatement使用较多,Statement极少数的情况下才使用。

2、那么什么情况下必须使用Statement呢?

  • 就是业务方面必须要求支持sql注入的时候。,进行SQl语句拼接的,必须使用Statement。

  • 例如:以下的程序给表中的数据排序,要用到SQL语句的拼接。

import java.sql.*;
import java.util.Scanner;
public class JDBCtest {
    public static void main(String[] args) {
        Scanner s = new Scanner(System.in);
        System.out.println("输入desc或asc,desc表示降序,asc表示升序:");
        String d = s.nextLine();
//JDBC代码
        ResultSet rs = null;
        Statement statement = null;
        Connection conn = null;
        try {
            //1、注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/sql", "root", "123456");
            //3获取数据库操作对象
            statement = conn.createStatement();
            //4、执行sql
            String dml = "select username  from t_student order by username "+d;
            rs = statement.executeQuery(dml);
            //5处理结果集
            while (rs.next()) {
                System.out.println(rs.getString("username"));
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            //6释放资源
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
                try {
                    if (statement != null) {
                        statement.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
                try {
                    if (conn != null) {
                        conn.close();
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}
输出结果:

/*输入desc或asc,desc表示降序,asc表示升序:
  asc
        jack
        ls
        rose
        zs
*/

好了,以上就是我对SQL注入问题的解决方案,与大家一起共享,希望对大家可能有一定的帮助

你的问题得到解决了吗?欢迎在评论区留言,提出更好的意见和建议 。  

-今非昔比°
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL注入漏洞过程实例及解决方案
12-14
public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login("aaa' OR ' ","1651561"); //若已知用户名,用这种方式便可不用知道密码就可登陆成功 if (flag){ System.out.println("登陆成功");...
JDBCSQL注入
每日一记,每周一结。
10-07 592
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
jdbc——sql注入
m0_72960906的博客
10-31 920
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名密码正确,登录成功。
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
m0_61331573的博客
03-14 351
使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//执行SQL语句,数据表,查询用户名密码,如果存在,登录成功,不存在登录失败。执行SQL语句,数据表,查询用户名密码,如果存在,登录成功,不存在登录失败。
JDBC中的SQL注入
DZH2020的博客
08-14 1067
JDBC中的SQL注入
javaJDBC中的SQL注入问题解决方案
DreamSun的博客
03-16 808
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。可以sql注入由于使用了预编译机制,执行的效率要高于Statementsql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
JDBC连接MySQL数据库止注册漏洞,进行用户登录判断。
lierenbiji21的博客
05-19 322
要求:用户用户名密码登录判断,这是每个项目必须要处理的问题,为了sql语句注入漏洞,我们采用sql语句预处理方法,给它固定格式,然后设置参数部分,下面我们直接看代码: import java.sql.*; public class loginDemotest { public static void main(String[] args) { //连接对象 Connection con = null; //sql语句预声明对象 P
Hibernate使用中SQL注入的几种方案
01-20
Hibernate使用中SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
JDBC如何有效SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入问题,  那么,什么是SQL注入,以及如何SQL注入问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
JDBC Oracle执行executeUpdate卡死问题解决方案
01-21
所以解决方案: 1、在执行完executeUpdate 后,记得将事务提交con.commit(); 2、找到数据库客户端,执行commit操作。 如果以上操作还不行。 那么应该是数据库在执行 数据操作失败 or 事务未提交 之后 将需要执行的...
Jmeter JDBC请求常见问题解决方案
08-19
主要介绍了Jmeter JDBC请求常见问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JDBCsql注入
PP东博客
08-22 643
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
5、JDBC解决sql注入问题
qq_45361382的博客
03-28 156
【代码】JDBC解决sql注入问题
JDBC技术【SQL注入JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)
07-11 442
JDBC技术【SQL注入JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)
5. MySQL - JDBC & SQL 注入 &博客系统(万字详解)
qq_58969626的博客
07-14 1818
JDBC 的介绍;如何通过 JDBC 连接数据库;什么是 SQL 注入;通过 JDBC 实现简单的博客系统。
解决SQL注入问题
heliuerya的博客
01-23 1336
解决SQL注入问题
JDBC之【SQL注入
weixin_48485216的博客
04-16 1522
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 2159
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
jdbc怎么sql注入
06-10
为了SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

-今非昔比°

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值