在编写Java代码时,我们如何改进连接数据库sql拼串语句来预防SQL注入?

最新推荐文章于 2021-02-26 13:10:38 发布
最新推荐文章于 2021-02-26 13:10:38 发布
阅读量451 收藏
点赞数
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LINHONG_1994/article/details/98469878
版权

参照-科普中国▪科学百科-sql注入定义

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

☛应用场景:现在有一张员工表,包含员工的信息,每个员工只能查询自己的相关信息,不能查看别的信息。

测试表数据:
mysql> select * from employee;o
+-----+------------------------+------+------------+---------+
| eid | ename                  | esex | etel       | esalary |
+-----+------------------------+------+------------+---------+
|   1 | Satement测试sql注入           || 1234566    |   20000 |
|   2 | PerSatement测试sql注入        || 1552585445 |   25852 |
+-----+------------------------+------+------------+---------+
2 rows in set (0.00 sec)
场景一:从键盘中输入员工姓名(‘Satement测试sql注入 ’ or 1 =‘1’)查询信息(Statement)
package com.daxia.test02;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class InsertTest {
	public static void main(String[] args) throws Exception {
		// 从键盘输入
		Scanner input = new Scanner(System.in);
		System.out.print("请输入姓名:");
		String name = input.nextLine(); //Satement测试sql注入' or 1 ='1

		// 1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2.连接服务器
		Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/coding0110lindb", "root", "root");

		// 3.编写sql
		String sql = "select * from employee where ename='" + name + "'";

		// 4.创建Statement
		Statement st = con.createStatement();

		// 5.执行sql
		ResultSet rs = st.executeQuery(sql);
		while (rs.next()) {
			/*
			 * ==========优化 ===================
			 * rs.getObject("eid");
			 * rs.getObject("ename");
			 * rs.getObject("esex"); 
			 * rs.getObject("etel");
			 * rs.getObject("esalary");
			 */

			for (int i = 1; i <= 5; i++) { // 数据库中有5个字段
				Object object = rs.getObject(i);
				System.out.print(object + "|"); // 打印数据库中每行的字段值
			}
			System.out.print("\n");// 换行
		}
		// 6.释放
		rs.close();
		con.close();
		input.close();
	
	}
}
select * from employee where ename= 'Satement测试sql注入';

①从键盘中输入员工姓名(Satement测试sql注入)查询信息

eclipse输入输出控制台:

/*
		请输入姓名:Satement测试sql注入
		1|Satement测试sql注入|男|1234566|20000.0|
		*/

mysql> select * from employee where ename= 'Satement测试sql注入';
+-----+---------------------+------+---------+---------+
| eid | ename               | esex | etel    | esalary |
+-----+---------------------+------+---------+---------+
|   1 | Satement测试sql注入        || 1234566 |   20000 |
+-----+---------------------+------+---------+---------+
1 row in set (0.00 sec)

②从键盘中输入员工姓名(Satement测试sql注入 ’ or 1 ='1)查询信息

  在查询时,输入恶意的SQL命令(’ or 1 ='1)时出现SQL注入情况,查询个人信息,却查询出全部信息,这样的语句就存在安全隐患!

eclipse输入输出控制台:

请输入姓名:Satement测试sql注入' or 1 ='1
1|Satement测试sql注入||1234566|20000.0|
2|PerSatement测试sql注入||1552585445|25852.|

mysql> select * from employee where ename='Satement测试sql注入' or 1 ='1';
+-----+------------------------+------+------------+---------+
| eid | ename                  | esex | etel       | esalary |
+-----+------------------------+------+------------+---------+
|   1 | Satement测试sql注入           || 1234566    |   20000 |
|   2 | PerSatement测试sql注入        || 1552585445 |   25852 |
+-----+------------------------+------+------------+---------+
2 rows in set (0.00 sec)
场景二::从键盘中输入员工姓名(Satement测试sql注入 ’ or 1 ='1)查询信息(PreparedStatement)
package com.daxia.test02;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class InsertTest {
	public static void main(String[] args) throws Exception {
		// 从键盘输入
		Scanner input = new Scanner(System.in);
		System.out.print("请输入姓名:");
		// String name = input.next();
		String name = input.nextLine(); // Satement测试sql注入' or 1 ='1

		// 1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2.连接服务器
		Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/coding0110lindb", "root", "root");

		// 3.编写sql
		String sql = "select * from employee where ename=?";

		// 4.创建Statement
		PreparedStatement ps = con.prepareStatement(sql);

		// 设置?
		ps.setObject(1, name);

		// 5.执行sql
		ResultSet rs = ps.executeQuery();
			if (rs.next()) {
				for (int i = 1; i <= 5; i++) { // 数据库中有5个字段
					Object object = rs.getObject(i);
					System.out.print(object + "|"); // 打印数据库中每行的字段值
				}
				System.out.print("\n");// 换行
		}else{
			System.out.print("您输入的"+name+"查询不到!");//测试操作
		}

		// 6.释放
		rs.close();
		ps.close();
		con.close();
		input.close();
		/*
		 * 请输入姓名:Satement测试sql注入 1|Satement测试sql注入|男|1234566|20000.0|
		 */
	}
}

①从键盘中输入员工姓名(Satement测试sql注入)查询信息

eclipse输入输出控制台:

请输入姓名:Satement测试sql注入
1|Satement测试sql注入||1234566|20000.0|

②从键盘中输入员工姓名(Satement测试sql注入 ’ or 1 ='1)查询信息

eclipse输入输出控制台:


请输入姓名:Satement测试sql注入' or 1 ='1
您输入的Satement测试sql注入' or 1 ='1查询不到!

总结:

  为了防止客户端访问后台数据库服务器出现恶意篡改sql语句现象,我们程序员在Java编写代码时就应该对sql语句进行管理控制,用占位符?进行拼串,防止这种情况的发现,这种是毁灭性的。

#轻松一刻:

在这里插入图片描述

 ☝上述分享来源个人总结,如果分享对您有帮忙,希望您积极转载;如果您有不同的见解,希望您积极留言,让我们一起探讨,您的鼓励将是我前进道路上一份助力,非常感谢!我会不定时更新相关技术动态,同时我也会不断完善自己,提升技术,希望与君同成长同进步!

☞本人博客:https://coding0110lin.blog.csdn.net/  欢迎转载,一起技术交流吧!

CRUD_CODER_LIN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
防止sql拼接Java方法,java程序防止sql注入的方法
weixin_33429631的博客
03-27 764
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String...
jdbc java数据库连接 8)防止sql注入
dielunyuan5091的博客
10-31 137
回顾下之前jdbc的开发步骤:   1:建项目,引入数据库驱动包   2:加载驱动     Class.forName(..);   3:获取连接对象   4:创建执行sql语句的stmt对象; 写sql   5:执行sql     a)更新 delete/insert/update       !:executeUpdate();     b)...
java连接数据库操作2--防止sql注入
l-jobs的专栏
12-01 348
sql注入 概念 所谓sql注入,即用户输入的字符串和我们的sql结合产生预判之外的结果,比如下面这段判断用户名密码是否正确的代码 String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'";rs = stmt.executeQ
防止sql拼接Java方法_JAVA程序防止SQL注入的方法
weixin_30563489的博客
02-26 966
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:Java代码 String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setStri...
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三...2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句
10种Java开发者编写SQL语句常见错误
09-03
总的来说,Java开发者在编写SQL,应深入理解SQL的特性和数据库的运作机制,避免这些常见的错误,从而编写出更高效、更安全的SQL语句。通过不断地学习和实践,可以提升SQL编写技能,更好地结合JavaSQL的优势进行...
数据库课程设计:高校教务管理系统(Java代码SQL代码、报告)
06-28
在这个项目中,zzdx.sql很可能包含了创建、查询、更新和删除数据的SQL语句。例如,可能有创建教务管理系统的各个表,如“学生表”、“课程表”、“教师表”等的CREATE TABLE语句;有用于获取学生信息、课程信息的...
java与数据库常用代码.rar_Java bean_java SQLsever_javabean 数据库_jsp jdbc
最新发布
09-22
总的来说,这个压缩包文件提供了关于Java数据库编程的基础知识,包括如何使用JavaBean封装数据操作,以及如何在JSP中利用JDBC直接与SQL Server交互。这些内容对于初学者和经验丰富的开发者都是宝贵的学习资料,可以...
javasql注入sql语句拼接工具sqlHandle
weixin_33978016的博客
11-18 165
2019独角兽企业重金招聘Python工程师标准>>> ...
JAVA防止SQL注入攻击类的源代码
04-26
JAVA防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
简单防sql注入攻击数据库处理代码示例
fsh430623的专栏
08-13 246
sql注入,就是在传入的参数中设置sql陷阱,从而引发恶意的数据库操作,来攻击数据库。 对输入参数进行验证,防止输入可能导致数据库操作的关键字和符号,是防止sql注入的一种方式。 //防止SQL注入参数验证 function checkSql(value) { var reg= /select|update|delet...
Nginx 防止SQL注入、XSS攻击的实践配置方法
justlpf的专栏
01-03 2149
参考文章:Nginx 防止SQL注入、XSS攻击的实践配置方法 将下面的Nginx配置文件代码放入到对应站点的.conf配置文件[server]里,然后重启Nginx即可生效。 if ($request_method !~* GET|POST) { return 444; } #使用444错误代码可以更加减轻服务器负载压力。 #防止SQL注入 if ($query_string ~*...
编写高质量代码:改善Java程序的151个建议(总结)
在知识的海洋中遨游
04-26 123
1.建议看一下jdk源码,看一下常用的方法的底层实现。2.学完设计模式回顾建议107,108。3.建议看完建议一年后,经验更丰富后再回顾4.学习完线程在回顾建议118~131总结:我认为这本书还是不错的,总结了一些开发过程中的注意事项,对整个开发流程有一个好的借鉴。目前有几处不懂,等学了相关知识,再回来完善。工作一年以后会在回顾一遍这些建议。...
SQL注入实例:避免后端SQL语句拼接操作
李谦的博客
05-23 8853
1 实例-后端逻辑 以下是基于pymysql的一个例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db='user_table', charset='utf-8') cursor = conn.cursor() def query_key...
JAVA jdbc(数据库连接池)SQL注入
javazaixian的专栏
08-24 902
1.SQL注入的概念…   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库,会发生sql注入攻击。如果代码使用存储过程,而这些存储
java sql 拼接工具_javasql注入sql语句拼接工具sqlHandle
weixin_28812983的博客
02-26 321
1.[代码]sqlHandlepackage com.sql.db;import java.util.ArrayList;import java.util.Calendar;import java.util.Date;import java.util.Iterator;import java.util.List;import org.hibernate.SQLQuery;import org.hi...
Java JDBC技术详解:数据库连接与SQL操作
它提供了一组API,使Java程序员能够编写SQL语句并与各种数据库管理系统(DBMS)进行交互。JDBC的重要性在于其跨平台的特性,允许Java应用在不同的操作系统和数据库系统之间轻松迁移,只需更换相应的数据库驱动程序。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值