使用PrepareStatement接口预编译SQL语句,防止SQL注入攻击

最新推荐文章于 2023-02-27 16:44:31 发布
最新推荐文章于 2023-02-27 16:44:31 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HollowKnight/article/details/80004018
版权 
package com.usc.demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;
/*
 * java程序实现用户登录,用户名和密码,数据库检查
 * 防止注入攻击
 * Statement接口实现类,防止执行SQL语句,返回结果集
 * 有一个子接口PreparedStatement(SQL语句预编译存储,多次高效执行SQl)
 * PreparedStatement的实现类在数据库的驱动中,如何获得接口的实现类
 * 
 * 是Connection数据库连接对象的方法
 * PreparedStatement prepareStatement(String sql)  
 */
public class CopyOfJDBCDemo3{
	public static void main(String[] args) throws Exception{
		//注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		//获取连接对象
		String url = "jdbc:mysql://localhost:3306/mybase";
		String username = "root";
		String password ="";
		Connection con = DriverManager.getConnection(url,username,password);

		//键入用户名和密码
		Scanner sc = new Scanner(System.in);
		String user = sc.nextLine();
		String pass = sc.nextLine();
		
		//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,否则登录失败
		String sql = "SELECT * FROM users WHERE username=? AND PASSWORD = ?";
		//调用connection接口的方法prepareStatement,获取PrepareStatement接口实现类
		PreparedStatement pst = con.prepareStatement(sql);
		//调用pst对象的set方法,设置问号占位符上的参数
		//第几个参数 ,
		pst.setObject(1, user);
		pst.setObject(2,pass);
		
		ResultSet rs = pst.executeQuery();
		//System.out.println(rs.next());
		while(rs.next()){
			System.out.println(rs.getObject("id")+ "  "+rs.getObject("username"));
		}
		rs.close();
		pst.close();
		con.close();
		
	}
}

HollowKnight
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
防止SQL注入的PreparedStatemet(预状态通道)
@王某人
06-18 206
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执 行恶意的SQL命令。它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,比如先前的很多影视网站泄露VIP会员密码大多就是通过 WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入攻击
有效防sql注入的两种方式
mameng1988的博客
09-22 2377
1 Mybatis 我们都知道:MyBatis使用#{}和KaTeX parse error: Expected 'EOF', got '#' at position 15: {}来进行参数值替换; 使用#̲{}语法时,MyBatis会自…{}语法时,MyBatis会直接注入原始字符串,即相当于分段字符串,因此会导致SQL注入,如: <select id="getByName" resultType="org.example.User"> SELECT * FROM user WHERE na
JDBC、DBCP、C3P0、DRUID等连接数据库的方式及结果集处理的工具
jingan欢迎您来访
08-15 522
# jdbc:     导包:mysql-connector-java-5.1.37-bin.jar     jdbc链接数据库分为六步:     1、用反射注册驱动:Class.forName("com.mysql.jdbc.Driver");     2、获得连接:Connection con = DriverManager.getConnection(url,username,passwor...
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2068
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
使用PHP实现防止sql注入功能
05-31
本案例主要在PHP中分别使用PDO的quote()方法和prepare()预处理语句来实现防止sql注入的功能。 所谓sql注入,就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql...
MySQL prepare语句的SQL语法
01-19
MySQL prepare语法: PREPARE statement_name FROM preparable_SQL_statement; /*定义*/ EXECUTE statement_name [USING @var_name [, @var_name] …]; /*执行预处理语句*/ {DEALLOCATE | DROP} PREPARE statement_...
使用PHP实现防止sql注入功能1
08-08
图5 案例结果图(prepare()方式提交)⑤模拟sql注入攻击:在两个文本框内分别输入用户名“’or 1=1 #”和密码“12345”,然后点击【提交(pr
PHP使用mysqli同时执行多条sql查询语句的实例
01-20
PHP数据库操作中,mysqli相对于mysql有很大的优势,建议大家使用;之前我们有介绍过如何在PHP5中使用mysqli的...//多条sql语句 $sql = select id,name from `user`;; $sql .= select id,mail from `user`; if ($mysql
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 749
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2597
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
JAVA【JDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4244
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
20220606_JDBC_API预编译PrepareStatement作用详细测试
ClarkGable的博客
06-07 173
JDBC的PrepareStatement详细演示
PostgreSQL — Prepared Statement 预编译
烟云的计算
10-11 4496
目录 文章目录目录PREPARE 指令EXECUTE 指令DEALLOCATE 指令EXPLAIN 指令ANALYZE 指令ERROR,0A000,"cached plan must not change result type"模拟异常解决方法参考文档 PREPARE 指令 PostgreSQL 的 PREPARE 指令用于创建一个预备(Prepare)语句,本质是一段待执行的、且进行了预编译的 SQL 语句,所以也称之为 “预编译语句”。在 RDBMS 中,预备语句常被用于优化性能。 当我们需要在一个
Day13_单元测试;使用PrepareStatement预编译对象执行sql语句(DML/DQL);Statement和PreparedStatement的区别;引入连接池以及它的使用(笔记)
m0_67499084的博客
05-21 442
文章目录1.单元测试2.使用PrepareStatement预编译对象执行sql语句(DML/DQL)2.1简介:2.2 准备:配置文件2.3 封装工具类代码:2.4 使用PrepareStatement预编译对象执行sql语句DML代码2.5 使用PrepareStatement预编译对象执行sql语句DQL代码3.Statement和PreparedStatement的区别(面试题)4.引入连接池以及它的使用4.1 什么是DataSource?4.2 操作步骤:4.3 数据库连接池的好处4.4代码 1.
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4122
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8027
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
009、PreparedStatement接口---解决SQL注入问题(输入特殊字符能登录)
l0510402015的博客
03-07 750
该对象有Connection对象的方法prepareStatement(String sql) 返回 一、PreparedStatement:执行sql的对象 1.SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全问题 1.输入用户随便,输入密码:a' or 'a' = 'a 2.sql:...
mysql预编译sql语句
最新发布
08-12
MySQL预编译SQL语句是一种优化手段,可以提高SQL语句的执行效率和安全性。预编译SQL语句的过程是将SQL语句的结构和参数分离,先将SQL语句...使用预编译SQL语句可以有效地防止SQL注入攻击,并且可以提高查询的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值