如何在开发中避免SQL注入

最新推荐文章于 2024-09-24 15:14:04 发布
最新推荐文章于 2024-09-24 15:14:04 发布
阅读量2k 收藏 1
点赞数 2
分类专栏: mysql java 文章标签: sql注入 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MerGoing/article/details/76563111
版权

如何避免SQL注入攻击

可以使用Statement中的子接口实现类PreparedStatement来避免SQL注入攻击

PreparedStatement

表示预编译的SQL语句的对象,Sql语句是预编译的,并且存储在PreparedStatement对象中,这个对象可以多次有效的执行这个SQL语句。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class PreparedStatementDemo {

    private static String className = "com.mysql.jdbc.Driver";
    private static String password = "123";
    private static String user = "root";
    private static String url = "jdbc:mysql://localhost:3306/mydb";

    public static void main(String[] args) throws Exception {
        //注册驱动
        Class.forName(className);
        //获取连接数据库的对象
        Connection conn =  DriverManager.getConnection(url, user, password);
        String sql = "SELECT * FROM userInfo WHERE username=? AND password=?";
        //获取SQL语句执行对象
        PreparedStatement pst = conn.prepareStatement(sql);
        pst.setString(1, "zhangsan");
        pst.setString(2, "123456");

        ResultSet rs = pst.executeQuery();
        System.out.println("用户名\t密码");
        while(rs.next()) {
            System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
        }

        rs.close();
        pst.close();
        conn.close();
    }

}

在上面的代码里,?表示的是占位符,不再像Statement中那样直接使用变量

再后来的setXXX的时候XXX的类型要与数据库中的类型相一致, 否则会出错。

同时使用PreparedStatement之后不再向executeXXX()传递SQL语句参数。

使用PreparedStatement为数据表中新增一条数据

sql = "INSERT INTO userInfo(username, password) VALUES(?, ?)";
Scanner in = new Scanner(System.in);
String usernameStr = in.nextLine();
String passwordStr = in.nextLine();
pst = conn.prepareStatement(sql);
pst.setString(1, usernameStr);
pst.setString(2, passwordStr);
int len = pst.executeUpdate();
System.out.println("修改了"+len+"条数据!");
sql = " SELECT * FROM userInfo";
pst = conn.prepareStatement(sql);
rs =  pst.executeQuery();
System.out.println("用户名\t密码");
while(rs.next()) {
    System.out.println(rs.getString("username") + "\t" + rs.getString("password"));
}

afterRun

MerGoing
关注
专栏目录
什么是注入式攻击,如何防止sql注入式攻击。
qq_43956225的博客
10-14 2267
什么是SQL注入式攻击? a. 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 b. 在某些表单,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。 c. 常见的SQL注入式攻击过程例如: (1) 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。 (2) 登录页面输入的内容将直接用来构造动..
Hibernate使用防止SQL注入的几种方案
01-20
在使用Hibernate进行数据库操作时,虽然它提供了便捷的ORM(对象关系映射)功能,但同时也需要关注SQL注入的安全问题。SQL注入是一种常见的攻击手段,攻击者可以通过输入恶意的SQL语句来篡改数据库信息,严重威胁...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。 SQL注入的原理是攻击者通过在应用程序的输入字段插入或“注入”恶意的SQL代码,从而绕过应用程序的安全机制,直接对数据库进行查询或操作。当应用程序没有对用户输入进行适当的验证和过滤时,攻击者可以注入恶意的SQL代码,导致应用程序执行非预期的数据库操作。 具体来说,当应用程序使用动态SQL语句构建查询时,它会将用户输入直接拼接到SQL语句。如果应用程序没有对用户输入进行适当的验证和过滤,攻击者可以注入恶意的SQL代码片段,改变原始SQL语句的结构和意图。通过注入恶意的SQL代码,攻击者可以绕过应用程序的身份验证、读取敏感数据、修改数据、执行任意命令等。
如何避免 SQL 注入?
m0_68464502的博客
06-13 1549
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击。
如何防止SQL注入攻击
最新发布
hs_1024的博客
09-24 422
SQL注入攻击是一种常见的网络安全威胁,攻击者通过在用户输入插入恶意的SQL代码,从而可以执行未经授权的数据库操作。为了防止SQL注入攻击,我们可以采取一系列有效的措施来保护数据库和应用程序的安全性。
如何防止sql注入呢?
热门推荐
li_lening的博客
05-21 11万+
sql注入大大降低了网站的安全性!最终达到欺骗服务器执行恶意的SQL命令。 会查出条件不允许的数据,假如是这样的一条sql:$sql="select * from stu where stu_name = $name and stu_email = $password";那么危险来了,注入sql后会变成这样:select * from t_admin where stu_name ='xxx' a...
sql注入攻击对mysql的影响_如何防止SQL注入攻击?
weixin_42526101的博客
02-04 262
SQL注入是一种注入攻击,可以执行恶意SQL语句。下面本篇文章就来带大家了解一下SQL注入,简单介绍一下防止SQL注入攻击的方法,希望对大家有所帮助。什么是SQL注入SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程...
如何防止 SQL 注入?
weixin_40074744的博客
10-25 262
题图:by from gary bunt昨晚看见群里在讨论关于数据库安全以及关于 SQL 注入的问题,那就简单的说一下。————首先 SQL 注入是指有些不法分子或者黑客...
防止SQL注入的正途
技术专栏
08-05 1347
<!-- google_ad_client = "pub-4791287241396031"; /* 728x90, 创建于 09-7-29 */ google_ad_slot = "4018300068"; google_ad_width = 728; google_ad_height = 90;/
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时未充分考虑输入验证的漏洞,通过构造恶意的SQL语句,攻击者可以绕过权限控制,获取敏感数据,甚至篡改数据库内容。以下是对防止SQL注入的五种方法的详细说明...
关于SQL注入避免
12-14
开发人员应遵循安全编码的最佳实践,比如使用ORM(Object-Relational Mapping)框架,它们通常会自动处理SQL注入防护。 总的来说,理解SQL注入的工作原理,以及如何有效地预防和防御,对于保障Web应用程序的安全至关...
SQL注入 如何防止SQL注入
08-14
SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入
防止sql注入小方法
10-09
应用实例工具:c# 和access演示的。此方法在一定程度上防止sql的注入, 防止'or'='or' 'or''=' 'or ''=' " or "a"="a 此类sql语句在客户端注入
phpsql注入漏洞示例 sql注入漏洞修复
10-26
由于PHP通常用于Web开发,并且经常与MySQL数据库结合使用,因此SQL注入漏洞在PHP应用尤为突出。 在PHPSQL注入漏洞常见于各种用户输入的处理环节,尤其是在处理登录界面、留言板、搜索框等用户可输入数据的...
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入的问题。 Mybatissql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
如何预防SQL注入***?
weixin_33744854的博客
03-21 89
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有用户提交表单的端口,提交的数据插入MySQL数据库,就有可能发生SQL注入安全问题,那么,如何防止SQL注入呢?针对SQL注入安全问题的预防,需时刻认定用户输入的数据是不安全的,并对用户输入的数据进行过滤处理,对不同的字段进行条件限制,...
如何有效防止SQL注入攻击
HollisChuang's Blog
08-17 1281
SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在编写...
mysql 自带防注入_MySQL 如何防止sql注入
weixin_31201555的博客
01-19 667
普通用户与系统管理员用户的权限要有严格的区分。如果一个普通用户在使用查询语句嵌入另一个Drop Table语句,那么是否允许执行呢?由于Drop语句关系到数据库的基本对象,故要操作这个语句用户必须有相关的权限。在权限设计,对于终端用户,即应用软件的使用者,没有必要给他们数据库对象的建立、删除等权限。那么即使在他们使用SQL语句带有嵌入式的恶意代码,由于其用户权限的限制,这些代码也将无法被执行...
如何避免 sql 注入?
ConstXiong
07-04 2万+
如何避免 sql 注入? 1、概念 SQL 注入(SQL Injection),是 Web 开发最常见的一种安全漏洞。 可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 2、造成 SQL 注入的原因 程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 脚本,程序在接收后错误的...
防范ASPSQL注入攻击策略
在ASP(Active Server Pages)开发的Web应用SQL注入式攻击是一种常见的安全威胁。攻击者利用编程设计的疏漏,通过在Web表单输入域或者查询字符串嵌入恶意SQL代码,使得这些恶意指令在服务器端被执行,从而获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值