JDBC中的SQL注入

已于 2022-08-14 13:34:41 修改
阅读量1.1k 收藏 4
点赞数 1
文章标签: sql 数据库 mysql
于 2022-08-14 13:32:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DZH2020/article/details/126330001
版权

1.JDBC中sql注入

1.1 JDBC

JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。
通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。

1.2 SQL注入

我们知道,dao层(负责操作数据库,数据访问层)中执行的SQL语句是拼接出来的,其中有一部分数据是由用户从客户端传入,所以当用户传入的数据中包含SQL关键字时,就有可能通过这些关键字改变SQL语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做SQL注入攻击。
sql注入案例演示:

	private static boolean Login(Map<String, String> userLoginInfo) {
		// TODO Auto-generated method stub
		boolean loginSuccess= false;
		String nameString= userLoginInfo.get("usernameString");
		String pwdString = userLoginInfo.get("passwordString");
		Connection con = null;
		Statement statement  = null;
		ResultSet resultSet = null;
		try {
			//1.注册驱动
			Class.forName("com.mysql.jdbc.Driver");
			//2.获取连接
			con = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","");
			//3.获取数据库操作对象
			statement = con.createStatement();
			//4.执行sql语句
			String sql = "select * from user where username='"+nameString+"' and password='"+pwdString+"'";
			//"select * from user where username='"+nameString+"' and password='fdas' or '1' = '1'"
			System.out.println("用户名"+nameString);
			System.out.println("密码"+pwdString);
			resultSet = statement.executeQuery(sql);
			//5.处理结果集
			if (resultSet.next()) {
				//登录成功
				loginSuccess = true;
			}
		}catch (Exception e) {
			// TODO: handle exception
			e.printStackTrace();
		}finally {
			if (resultSet !=null) {
				try {
					resultSet.close();
				} catch (Exception e) {
					// TODO: handle exception
					e.printStackTrace();
				}
			}
			if (statement !=null) {
				try {
					statement.close();
				} catch (Exception e) {
					// TODO: handle exception
					e.printStackTrace();
				}
			}
			if (con !=null) {
				try {
					con.close();
				} catch (Exception e) {
					// TODO: handle exception
					e.printStackTrace();
				}
			}
		}
		return loginSuccess;
	}

程序的逻辑为:

用户输入用户名和密码

在数据库中查找匹配的用户名和密码,若有匹配的则登录成功,否则,提示"登陆失败"。实际就是在数据库中执行以下sql语句

String sql = “select * from user where username='”+nameString+“’ and password='”+pwdString+“'”;

上边代码的逻辑看似没有问题,实则问题很大:

当用户这样输入:一个数据库中不存在的用户名,例如bbb,然后输入密码:a’ or ‘a’ = 'a,这样输入竟然也能登陆成功。
如图:
在这里插入图片描述

原因:
当用户输入以上用户名和密码时,程序就会在数据库中执行以下sql语句
sql :select * from user where username = ‘bbb’ and password = ‘a’ or ‘a’ = ‘a’ ;

这是一条恒等式,数据库会返回user表中所有的内容,这样rs.next()就会等于true,所以可以登陆成功。

1.3 SQL注入的预防

使用PreparedStatement代替Statement可以有效防止SQL注入的发生。

PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,关键字不会起作用,从而从原理上防止了sql注入的问题。
上面的sql语句改写为:

String sql = "select * from user where username= ? and password= ?";

再去给每个 ?占位符赋值

sta.setString(1, nameString);
sta.setString(2, pwdString);

使用PrepareStatement预防sql注入演示:

private static boolean Login(Map<String, String> userLoginInfo) {
		// TODO Auto-generated method stub
		boolean loginSuccess= false;
		String nameString= userLoginInfo.get("usernameString");
		String pwdString = userLoginInfo.get("passwordString");
		Connection con = null;
		PreparedStatement sta  = null;
		ResultSet resultSet = null;
		try {
			//1.注册驱动
			Class.forName("com.mysql.jdbc.Driver");
			//2.获取连接
			con = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","");
			//3.获取数据库操作对象
			//SQL语句的框子 其中一个?,表示一个占位符 ,一个?将来接收一个"值",注意占位符不能使用单引号括起来
			String sql = "select * from user where username= ? and password= ?";//sql语句的框子
			//程序执行到此处,会发送sql语句框子给DBMS,然后DBMS对sql语句进行预编译
			sta = con.prepareStatement(sql);
			//给占位符?传值(第一个问号的下标是1,第二个问号的下标是2,JDBC中所有下标都是从1开始的)
			sta.setString(1, nameString);
			sta.setString(2, pwdString);
			//4.执行sql
			System.out.println("用户名:"+nameString);
			System.out.println("密码:"+pwdString);
			resultSet = sta.executeQuery();
			//5.处理结果集
			if (resultSet.next()) {
				//登录成功
				loginSuccess = true;
			}
		}catch (Exception e) {
			// TODO: handle exception
			e.printStackTrace();
		}finally {
			if (resultSet !=null) {
				try {
					resultSet.close();
				} catch (Exception e) {
					// TODO: handle exception
					e.printStackTrace();
				}
			}
			if (sta !=null) {
				try {
					sta.close();
				} catch (Exception e) {
					// TODO: handle exception
					e.printStackTrace();
				}
			}
			if (con !=null) {
				try {
					con.close();
				} catch (Exception e) {
					// TODO: handle exception
					e.printStackTrace();
				}
			}
		}
		return loginSuccess;
	}

测试:
在这里插入图片描述

2. 总结

PreparedStatement主要有如下的三个优点:

  1. 可以防止sql注入
  2. 由于使用了预编译机制,执行的效率要高于Statement
  3. sql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.

PreparedStatement 与Statment比较:

  1. 语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
  2. 效率不同: PreparedStatement可以使用sql缓存区,效率比Statment高
  3. 安全性不同: PreparedStatement可以有效防止sql注入,而Statment不能防止sql注入。
搭建数据库表的代码: 
create table t_user(
`id` int(10) AUTO_INCREMENT PRIMARY KEY,
`username` VARCHAR(25) ,
`password` VARCHAR(25)
) ENGINE=INNODB;
--插入两条数据方便测试
insert into t_user(username,password) values('curry','123456')
insert into t_user(username,password) values('rose','123456')
一直在不断地奋斗
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
【JAVA高级】——吃透JDBCSQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBCSQL注入问题和解决方案
JDBC如何防止SQL注入
qf2019的博客
08-25 2196
JDBC如何有效防止SQL注入 在我们平时的开发,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
jdbcsql注入
林高禄
06-24 9007
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
JDBCsql注入
PP东博客
08-22 741
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数含有破坏性的指令,也不会被数据库所运行。
jdbc——sql注入
m0_72960906的博客
10-31 965
在用户输入的数据SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1590
sql注入原理 用户输入的信息含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBCSQL注入
最新发布
每日一记,每周一结。
10-07 713
PreparedStatement 是 Statement 接口的子接口,继承于父接口所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象。然后可以使用此对象多次高效地执行该语句。
JDBCsql注入
qq_53755636的博客
08-20 385
JDBC全称是Java Database Connectivity(java数据库连接),是java连接数据库的标准和规范。SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6235
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBCSQL注入
qq_46093575的博客
05-16 232
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据注入非法的sql语句或命令,恶意攻击数据库
jdbcsql注入
a8153285的博客
04-23 248
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
JDBCSQL注入
离开屏幕的光,哪盏灯照亮你的孤独?
02-19 340
SQL注入,PreparedStatement和Statement 在SQL包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 PreperedStatement(从Statement扩展而来)相对Statement的优点: 没有SQL注入的问题。 Stateme...
JDBCSQL注入攻击
qq_45061361的博客
06-05 670
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其有一部分内容是由用户从客户端传入,所以当用户传入的数据包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
JDBC-用户登录(不安全)
whatname123的博客
09-07 208
package jdbc; import java.sql.*; import java.util.Scanner; import com.mysql.cj.protocol.Resultset; import com.mysql.cj.x.protobuf.MysqlxCrud.Collection; public class jdbc2 { public static void main(String[] args) throws Exception { // TODO 自动生成的方法存根
JDBCSQL注入
weixin_45600855的博客
03-28 194
JDBCSQL注入JDBC的简单介绍简介核心组件SQL注入解决办法PreparedStatement(预状态通道) JDBC的简单介绍 简介 JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多 种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可 以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序 核心组件 DriverManager : 此类管理数据库驱动程序
java JDBC Sql注入攻击
feixde的博客
06-03 290
查询: sql注入攻击和PreparedStatement: 其实本质就是PreparedStatement会对参数的特殊字符进行转义处理,而不是直接拼接。它使用一个?占位,代表一个参数。在设置参数时,如果参数是字符串,拼接sql语句时会自动为字符串加上引号以此表明这是一个字符串,同时对参数内自带的特殊符号会进行转义处理。...
jdbc sql注入
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值