SQL攻击与PreparedStatement

最新推荐文章于 2022-08-11 14:59:58 发布
最新推荐文章于 2022-08-11 14:59:58 发布
阅读量211 收藏
点赞数
分类专栏: Java Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LZT_SZITMAN/article/details/79340338
版权

1.什么是SQL攻击。

    在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在输入用户名以及登陆密码都是SQL语句时,我们的程序就会将其嵌入到我们的SQL语句中,最终可能出现数据库的错误。

2.PreparedStatement

1)它是Statement接口的子接口;

2)强大之处

    2.1)防SQL攻击。

    2.2)提高代码的可读性。

    2.3) 提高效率


实例:

public boolean login(String username,String password) throws Exception{
		ResultSet re = null;
		Connection con = null;
		Statement stmt = null;
		String sql = "select * from users where Id = '"
					+username+"' and Password = '"+password+"'";
		boolean result = false;
		try{
			//设置四大参数
			String driverClassName = "com.mysql.jdbc.Driver";
			String url = "jdbc:mysql://localhost:3306/timebookstore";
			String sqlUserName = "***";
			String sqlPassword = "123456";
			//加载类
			Class.forName(driverClassName);
			//连接数据库获取Connection对象
			con = DriverManager
					.getConnection(url,sqlUserName,sqlPassword);
			//获取Statement,用于向数据库发送SQL语句
			stmt = con.createStatement();
			//发送查询语句
			re=stmt.executeQuery(sql);
			result = re.next();
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			if(re != null)re.close();
			if(stmt != null)stmt.close();
			if(con != null)con.close();
		}
		return result;
	}
	
	@Test
	public void fun2() throws Exception{
		String username = "abc";
		String password = "123";
		System.out.println(login(username,password));
	}

控制台输出的结果是false,表示验证不成功。但是如果用户名和密码改为如下:

@Test
	public void fun2() throws Exception{
		String username = "abc' or 'a' = 'a";
		String password = "123' or 'a' = 'a";
		System.out.println(login(username,password));
	}

也即完整的sql语句为:

select * from users where Id = 'abc' or 'a' = 'a' and Password = '123' or 'a' = 'a'

很明显这一句查询语句返回表中的所有内容,所以结果是true。这就是sql攻击.


下面的例子使用PreparedStatement防止sql攻击。

public boolean login(String username,String password) throws Exception{
		ResultSet re = null;
		Connection con = null;
		PreparedStatement pstmt = null;
		String sql = "select * from users where Id = ? and password = ?";
		boolean result = false;
		try{
			//设置四大参数
			String driverClassName = "com.mysql.jdbc.Driver";
			String url = "jdbc:mysql://localhost:3306/timebookstore";
			String sqlUserName = "***";
			String sqlPassword = "123456";
			//加载类
			Class.forName(driverClassName);
			//连接数据库获取Connection对象
			con = DriverManager
					.getConnection(url,sqlUserName,sqlPassword);
			//获取PreparedStatement,用于向数据库发送SQL语句
			pstmt = con.prepareStatement(sql);
			//设置sql的参数
			pstmt.setString(1, username);
			pstmt.setString(2,password);
			//执行sql语句
			re=pstmt.executeQuery();
			result = re.next();
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			if(re != null)re.close();
			if(pstmt != null)pstmt.close();
			if(con != null)con.close();
		}
		return result;
	}
	
	@Test
	public void fun2() throws Exception{
		String username = "abc' or 'a' = 'a";
		String password = "123' or 'a' = 'a";
		System.out.println(login(username,password));
	}

使用PreparedStatement的结果是false,与我们预期的一样了。

由上面的例子可以看出使用PreparedStatement,编写的sql语句更加直观,还可以防sql攻击。

String sql = "select * from users where Id = '"+username+"' and password = '"+password+"'";//Statement
String sql = "select * from users where Id = ? and password = ?";//PreparedStatement

?号表示参数,下面有设置该参数的代码。

pstmt = con.prepareStatement(sql);
			//设置sql的参数
			pstmt.setString(1, username);
			pstmt.setString(2,password);

LZT_SZITMAN
关注
专栏目录
PreparedStatement,注册攻击,模拟用户登录
weixin_41704733的博客
03-26 862
JDBC-模拟用户登录 案例需求:   模拟用户登录,Statement对象完成 开发步骤:   1.准备环境,导入JDBCUtils工具类,mysql-connector-java-5.1.10-bin.jar包,JUnit 4 jar包    2.创建main方法,提示用户登录   3.创建login方法,用来验证用户是否存在,去查询user表,根据用户名和密码,利用jdbc完成,...
statement语句操作
听听丶的博客
08-15 3832
/*Statement中有4个执行方法可用 * 1, executeQuery() : 只能执行查询语句 * 2, executeUpdate(): 只能增、删、改, 不能执行查询语句 * 3, execute(): 增、删、改、查的语句都能够执行。只是查询时返回的结果是告诉成功与否,如果要获取查询结果,得另外用" st.getResultSet()"获取 * 4, execute
【Java编程】JDBC注入攻击-Statement 与 PreparedStatement
andieguo的专栏
05-14 3364
在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了如何使用JDBC驱动建立一个简单的连接,并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比较Statement和PreparedStatement。当然这两者还有很多其他方面的不同,在之后的blog中会继续更新。
关于preparestatement的详解
lqy103267的博客
09-05 3549
0 关于preparestatement的详解5 Java代码   /**   * 将用户信息插入数据库   * @param uv   * @return   */   public int insertUser(UserVo uv){       int userId = 0;       initDb(); **初始化连接数据库的方法 
SQL注入攻击与PreparedStatement
eve8888888的博客
12-31 311
这几天在学习JDBC,一开始用的是Statement,后来一位老师给我们讲课时用的是PreparedStatement,一开始只是觉得PreparedStatement方便了很多,不用反复拼接SQL语句,只需要用?占位就可以了。无聊时百度了一下这两个的区别,才发现PreparedStatement要比Statement强大很多,而且在程序中要使用PreparedStatement。 先来说说为什...
SQL注入与PreparedStatement对象
weixin_48426115的博客
08-11 114
sql存在漏洞,会被攻击导致数据泄露。
SQL攻击与防御
10-16
### SQL攻击与防御 #### 一、SQL攻击概述 **SQL攻击**,即Structured Query Language攻击,是指通过恶意构造SQL语句,利用Web应用程序的安全漏洞,实现对数据库的非法访问和控制的一种网络攻击方式。这类攻击主要...
扫描sql注入与xss攻击的牛b工具
11-02
本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,以帮助初学者进行渗透测试。 **SQL注入**是一种攻击方式,通过输入恶意的SQL语句,攻击者可以获取、...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
在IT领域,尤其是在Java编程中,SQL注入是一个重要的安全问题,而PreparedStatement是解决这一问题的有效手段之一。批量插入则是提高数据库操作效率的关键技术。今天我们就来深入探讨这些知识点。 首先,我们来理解...
SQL注入攻击检测与防御研究.pdf
09-19
以上研究为SQL注入攻击的检测与防御提供了理论依据和实践指导,对于维护Web应用程序的安全具有非常重要的意义。随着互联网技术的发展和Web应用的普及,相关研究工作需要不断进行,以应对日益复杂的网络安全挑战。
防止SQL注入 — PreparedStatement
Daria
05-20 200
Background: Statement不能防止SQL注入, PreparedStatement能够防止SQL注入 如何理解 prepared statements 使用预编译语句是预防SQL注入的最佳方式 使用预编译语句Statement和PreparedStatment sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,...
利用PreparedStatement 结果注入问题
zzcchunter的专栏
05-30 1749
//Statement st = conn.createStatement(); //PreparedStatement ps = conn.prepareStatement(sql); 上面两句话的区别在于 PreparedStatement 在创建的时候需要传入 sql语句,而 Statement的时候才需要传入sql语句 (ResultSet rs = st.executeQuery();
access denied for user ''@'localhost' to database(Window 已亲测)
热门推荐
LZT_SZITMAN的博客
04-01 1万+
新安装的数据库创建新数据库的时候通常会出现access denied for user ''@'localhost' to database的错误,原因是用的是匿名用户,需要更改密码。网上流程的解决方案是Linux系统下的解决方法,这里说下在Window下怎么解决(亲测)。1.进入mysql.exe的目录下。我的地址是:C:\Program Files (x86)\MySQL\MySQL Serv...
设计模式MVC总结
LZT_SZITMAN的博客
02-17 738
注:本文主要来自https://www.cnblogs.com/diyunfei/p/6752618.html,其中加入了本人对于MVC的一些理解。MVC的全名是Model View Controller,是模型(model)-视图(view)-控制器(controller)的缩写,是一种软件设计典范。它是用一种业务逻辑、数据与界面显示分离的方法来组织代码,将众多的业务逻辑聚集到一个部件里面,在需...
GenericServlet与HttpServlet总结
LZT_SZITMAN的博客
02-03 413
javax.servlet.GenericServlet抽象类有以下三个特点; 1.将init方法中的ServletConfig赋给一个类级变量,以便可以通过调用getServletConfig获取。 2.为Servlet接口中的所有方法提供默认的实现。 3.提供方法,包围ServletConfig中的方法。 GenericServlet要被继承使用,可以通过重写init函数实现父类的初始
JSP 动作标签总结
LZT_SZITMAN的博客
02-10 345
JSP动作标签概述:JSP动作标签与html标签有本质的区别。它们是由服务器来执行,与java代码一样。而html标签是由浏览器来执行!常用标签;<jsp:forward>: 转发,它与RequestDispatcher的forward方法一样,一个在Servlet中使用,一个在JSP中使用。<jsp:include>: 包含,它与RequestDispatcher的inc...
JDBC连接数据库总结
LZT_SZITMAN的博客
02-18 331
1.什么是JDBC?    JDBC(Java DataBase Connectivity)就是Java数据库连接,说白了就是利用Java语言来操纵数据库。原来我们操纵数据库是在控制台使用SQL语句来操纵数据库的,JDBC就是用Java语言向数据库发送SQL语句。2.JDBC原理。    SUN公司提供一套访问数据库的规范(统一的一组接口),并提供连接数据库的标准协议,然后各个数据库厂商遵循SUN...
SQL注入攻击详解与防范策略
防范方法:使用参数化查询或预编译语句,如在Java的JDBC中使用PreparedStatement,可以确保用户输入不会与SQL代码混淆。 2. **类型处理错误** 当应用程序没有正确处理数据类型时,攻击者可能能够利用此漏洞。例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值