MySQL-SQL注入问题(预编译处理)

最新推荐文章于 2024-04-21 10:28:55 发布
最新推荐文章于 2024-04-21 10:28:55 发布
阅读量819 收藏 4
点赞数 1
分类专栏: MySQL Database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Just__2009/article/details/109126437
版权

当服务器向数据发送访问请求,在sql语句中夹杂特殊字符,在与查询语句进行拼接时,导致sql语句产生了歧义。
当用户登陆时,加入输入的帐号或密码并不存在,但是在帐号或密码中输入如下:

a' or 'a'='a

此时结果会显示为登陆成功。
原查询语句:
select name from users where username=‘帐号’ and password = ‘密码’
拼接后
select name from users where username=‘123’ and password = ‘a’ or ‘a’=‘a’
解决sql注入问题:
通过将SQL语句与参数分离,将参数作为SQL的特殊部分进行预处理。

PreparedStatement 预编译的SQL执行环境

MySQL内部实现原理:
1. 将未拼接参数的SQL语句作为SQL指令,先段递给数据库进行预编译。
2. 再将参数传递给数据库,此时传递的参数不会再作为指令执行,会被当成文本处理。

操作流程:

//1.创建数据库连接
Connection conn = DriverManager.getConnection("jdbc.mysql://localhost:3306/test?useUnicode=true&charset=utf-8","root","");
//2.将没有参数的SQL语句进行预编译
PreparedStatement state =  conn.prepareStatement("select * from users where username=? and password=?");
//3.设置参数
state.setString(1,"myusername");
state.setString(2,"mypassword");
//4.执行sql语句
Resultset result = state.executeQuery();

PreparedStatement与Statement的性能?

在mysql中,prepardStatement原理是拼接SQL,所以Statement性能高。
在Oracle中,preparedStatement原理是对SQL指令进行预处理,再传递的参数不具备特殊含义,有更好的SQL缓存策略,所以preparedStatement性能高。

1.Statement、PreparedStatement和CallableStatement都是接口(interface)。
2.Statement继承自Wrapper、PreparedStatement继承自Statement、CallableStatement继承自PreparedStatement。
3.
Statement接口提供了执行语句和获取结果的基本方法;
PreparedStatement接口添加了处理 IN 参数的方法;
CallableStatement接口添加了处理 OUT 参数的方法。
4.
a.Statement:
普通的不带参的查询SQL;支持批量更新,批量删除;
b.PreparedStatement:
可变参数的SQL,编译一次,执行多次,效率高;
安全性好,有效防止Sql注入等问题;
支持批量更新,批量删除;
c.CallableStatement:
继承自PreparedStatement,支持带参数的SQL操作;
支持调用存储过程,提供了对输出和输入/输出参数(INOUT)的支持;

Statement每次执行sql语句,数据库都要执行sql语句的编译 ,
最好用于仅执行一次查询并返回结果的情形,效率高于PreparedStatement。

PreparedStatement是预编译的,使用PreparedStatement有几个好处

  1. 在执行可变参数的一条SQL时,PreparedStatement比Statement的效率高,因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率要高。
  2. 安全性好,有效防止Sql注入等问题。
  3. 对于多次重复执行的语句,使用PreparedStament效率会更高一点,并且在这种情况下也比较适合使用batch;
  4. 代码的可读性和可维护性。
难平是人心
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[疯狂Java]JDBC:PreparedStatement编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
MySQL的SQL编译及防SQL注入
qq_29750559的博客
11-13 1608
本文主要介绍mysql编译原理、作用以及它是如何防止sql注入
jdbc、PreparedStatement编译原理
qq_43369986的博客
05-18 938
PreparedStatement编译原理 https://www.zybuluo.com/stefanlu/note/254899 前提知识 MySQL编译 只使用PreparedStatement无法使用编译功能,因为mysql默认不开启编译,需要连接db时添加useServerPrepStmts=true参数,例如 jdbc:mysql://127.0.0.1:3306/user?useServerPrepStmts=true 注意:useServerPrepStmts=true参数只对此次连
编译为什么能防止SQL注入?一看你就明白了。编译原理详解_编译防止sql注入
最新发布
m0_62289824的博客
04-21 859
编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。模拟编译则用于那些不支持编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。正常情况下,用户输入的参数会直接参与SQL语法的编译,而编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。
关于编译语句PreparedStatement 的 setString类方法传NULL值到sql进行编译时报 POINT EXCEPTION空指针异常总结
qq_41795198的博客
03-14 2351
关于编译语句PreparedStatement 的 setString类方法传NULL值到sql进行编译时报 POINT EXCEPTION空指针异常总结 1、在实际应用中会出现这种需求,所以将我的经验进行记录,也方便他人,有什么其他思路也可以交流一下。 2、实际代码如下: 首先是需要执行的sql语句 private static String INSERT_RKK_YWGL_SQ...
防止sql注入方法之编译
波波豆奶
06-08 1027
PreparedStatement的编译功能是指首先将SQL语句编译成可重复使用的处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下编译的效果(如果之前开启过日志可直接跳至(3))
10-sql注入-mysql注入1
08-03
SQL注入是一种常见的安全漏洞,通常发生在Web应用程序中,允许攻击者通过输入恶意SQL代码来操纵数据库。MySQL注入是其中一种,特别针对使用MySQL数据库的应用。本文将深入探讨MySQL注入的原理、常见攻击手段以及防范...
MySQL 面试题-SQL注入篇.docx
09-17
SQL注入是一种严重的网络安全威胁,尤其针对使用MySQL等数据库系统的Web应用程序。攻击者通过在用户输入的数据中插入恶意SQL代码,可以操控数据库,获取敏感信息,甚至破坏整个系统。以下是关于SQL注入的详细解释和...
MySQL编译功能详解
12-16
- **防止SQL注入**:使用编译的PreparedStatement接口,参数被作为单独的值处理,而不是作为字符串的一部分,这提高了安全性,有效阻止了SQL注入攻击。 2. **MySQL执行编译的步骤** - **编译语句**:用户...
MySQL解决SQL注入的另类方法详解
09-10
在MySQL中,防止SQL注入有多种方法,包括使用编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
mysql-connector-java-8.0.23.jar
12-18
6. **编译语句**:提高执行效率,通过编译SQL语句来防止SQL注入攻击。 7. **游标支持**:允许双向滚动和处理大数据集。 8. **连接池支持**:可以配合像C3P0、HikariCP或Apache DBCP等连接池组件,有效管理数据库...
SQL注入之MYSQL注入
av11566的博客
04-19 7095
前言 MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell操作。其中也会遇到很多阻碍,相关防御方案也要明确,所谓知己知彼,百战不殆。不论作为攻击还是防御都需要了解其中的手法和原理,这样才是一个合格的安全工作者。 必要知识 在MYSQL5.0以上版本中,MYSQL存在一个自带数据库名为information_schema,它是一个存储记录有所有数据库名,表名,列名的数据库,也相当于可以通过查询它获取指定数据库下面的表名或者列名信息。 数据库中符号"
MySQl登录实例的SQL的注入问题
weixin_51232559的博客
07-01 1204
SQL注入问题想必大家都会有所听闻,因为也许大家都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是SQL注入方法。SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。...
mysql编译还有办法注入么_为什么编译可以防止sql注入
weixin_30068377的博客
02-07 941
为什么编译可以防止sql注入发布时间:2020-07-11 16:59:46来源:亿速云阅读:135作者:Leah为什么编译可以防止sql注入?针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。编译可以防止sql注入的原因:进行编译之后,sql语句已经被数据库分析,编译和优化了,并且允许数据库以参数化的形式进行查询,所以即使有敏...
工作小记 -- sql中使用函数会导致编译失效吗?
weixin_42029860的博客
08-01 538
前几天有个模糊查询的需求,我还是像往常一样写,xml例子如下: <if test="keyword != null"> and t1.customer_name like concat("%"#{keyword}"%") </if> 新来的组长review我写的代码时候,反手提问了我几个问题: 这样写有没有什么问题? sql的执行过程是什么? 啥是编译? 勇敢<bind>标签吗? 反手给我打了个措手不及,因为原来自己一直是上面这样写的。后来查资料才
sql 编译 & 防止sql注入
梦~'
10-10 3943
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL编译 2.数据库编译为何能防止SQL注入 一、sql编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以编译的优势就体现出来了。编译语句被DB的编译编译后的执行代码被缓存下来,那么下次调用时只要是相...
利用编译来SQL注入
m0_51428325的博客
12-26 903
在做CTF时遇到这样一个题目,注入点过滤了SELECT和.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式: id=1';show tables;%23 但是没法查询字段,于是就可以利用构建编译语句来绕过过滤。 利用此方法的前提是支持多语句查询。 先来谈谈什么叫编译,实际上它经常被用来防止SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,编译的目的就在于解决这一点。 我们常见的有关防止SQL注入编译手段都是基于后端代码的,即PHP或J
php mysql注入_php连接mysql的三种方式和处理下的sql注入
weixin_30713705的博客
01-18 333
0x00 前言学习了一下堆叠注入和这三种连接方式处理下的SQL注入问题。0x01 基础知识参考:https://www.cnblogs.com/joshua317/articles/5989781.htmlhttps://www.cnblogs.com/geaozhang/p/9891338.html1、即时 SQL一条 SQL 在 DB 接收到最终执行完毕返回,大致的过程如下:1. 词法和语义...
Mysql编译SQL
Donald_Draper
12-05 374
JDBC驱动初始化-Mysql:[url]http://donald-draper.iteye.com/blog/2342010[/url] JDBC连接的获取:[url]http://donald-draper.iteye.com/blog/2342011[/url] Mysql负载均衡连接的获取:[url]http://donald-draper.iteye.com/blog/234208...
mysql编译sql
06-10
MySQL编译SQL指的是在执行SQL语句之前,先将SQL语句编译成一个编译语句,然后再将参数传递给这个编译语句进行执行。这样可以提高SQL语句的执行效率,避免SQL注入等安全问题。 在MySQL中,可以使用PreparedStatement接口来实现编译SQL。使用PreparedStatement时,首先需要调用Connection对象的prepareStatement方法来获取一个PreparedStatement对象,然后可以使用setXXX方法设置参数值,最后调用execute方法执行编译语句。 例如,下面的代码片段演示了如何使用PreparedStatement来执行一条编译SQL语句: ```java String sql = "SELECT * FROM user WHERE username = ? AND password = ?"; PreparedStatement stmt = conn.prepareStatement(sql); stmt.setString(1, "testuser"); stmt.setString(2, "testpassword"); ResultSet rs = stmt.executeQuery(); ``` 在上面的代码中,使用了"?"占位符来代替变化的参数值。然后通过PreparedStatement的setXXX方法来设置参数值,最后调用executeQuery方法来执行SQL语句。这样就可以实现编译SQL的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值