JDBC 第三章 SQL注入

最新推荐文章于 2024-08-11 13:28:35 发布
最新推荐文章于 2024-08-11 13:28:35 发布
阅读量266 收藏
点赞数 1
分类专栏: JDBC 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RTyinying/article/details/108146867
版权

文章目录

1.SQL注入概述

用户输入的信息中含有sql语句的关键词,并且这些关键词参与sql语句的编译过程,会导致sql语句的原意被扭曲,达到sql注入
例如输入:用户名aaa 密码aaa’ or ‘1’ = '1

String sql = "select*from t_user where loginName = '" + loginName + "' and loginPwd = '" + loginPwd + "'";

用户填入后完成sql语句的拼接,发送sql语句给DBMS,DBMS进行sql编译,将非法信息编译进入,扭曲原含义

2.解决SQL注入问题

使用java.sql.PrepareedStatement,让用户输入的信息不参与SQL语句的编译
PreparedStatement接口继承了Statement,输入预编译数据库操作对象,原理是,预先对SQL语句的框架进行编译,然后再给SQL语句传“值”。

public class JDBCTest08 {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        boolean loginSuccess = false;

        Scanner s = new Scanner(System.in);
        System.out.println("用户名");
        String loginName = s.nextLine();
        System.out.println("密码");
        String loginPwd = s.nextLine();
        
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://loaclhoat:3306/bjpowernode", "root", "333");
            //3.获取预编译的数据库操作对象
            //一个?代表一个占位符,将来接收一个值,占位符不能用单引号括起来
            String sql = "select * from t_user where loginName = ? and loginpwd = ?";
            ps = conn.prepareStatement(sql);
            //第一个下标是1
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            //4.执行sql
            rs = ps.executeQuery();
            //5.处理结果集
            if (rs.next()) loginSuccess = true;
            System.out.println(loginSuccess);
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            //6.释放资源
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null) {
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }

    }
}

3.Statement和PreparedStatement的对比

  • Statement存在sql注入问题,PreparedStatement解决了sql注入问题
  • Statement是编译一次执行一次,PreparedStatement是编译一次执行N次,效率较高
  • PreparedStatem会在编译阶段做类型的安全检查
  • PreparedStatement使用较多,当业务方面要求必须支持SQL注入时,必须使用Statement
    示例:根据用户输入升序降序输出
public class JDBCTest09 {
    public static void main(String[] args) {
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;

        Scanner scanner = new Scanner(System.in);
        System.out.println("输入desc或asc");
        String keyWords = scanner.nextLine();

        try {
            Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://loaclhoat:3306/bjpowernode", "root", "333");
            stmt = conn.createStatement();
            String sql = "select ename from emp order by " + keyWords;
            rs = stmt.executeQuery(sql);
            while (rs.next()) System.out.println(rs.getString("ename"));
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            if (rs != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stmt != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (conn != null) {
                try {
                    rs.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }

    }
}

4.PreparedStatement完成DML

Class.forName("com.mysql.jdbc.Driver");
conn = DriverManager.getConnection("jdbc:mysql://loaclhoat:3306/bjpowernode", "root", "333");

String sql = "insert into dept (deptno,dname.loc) values (?,?,?)";
ps = conn.prepareStatement(sql);
ps.setInt(1,60);
ps.setString(2,"销售部");
ps.setString(3,"上海");

String sql = "update dept set dname = ?,loc = ? where deptno = ?";
ps = conn.prepareStatement(sql);
ps.setString(1,"研发一部");
ps.setString(2,"北京");
ps.setInt(3,60);

String sql = "delete from dept where deptno = ?";
ps = conn.prepareStatement(sql);
ps.setInt(1,60);

int count = ps.executeUpdate();
System.out.println(count);
//5.处理结果集(不需要)
//6.释放资源

传送门

上一章:JDBC 第二章 JDBC编程六步
下一章:JDBC 第四章 JDBC事务机制

JDBC如何防止SQL注入
qf2019的博客
08-25 2262
JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 425
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
JavaMySQL-JDBC-第3章上机练习.zip
04-20
【原创作者田超凡,未经许可请勿转发,侵权仿冒必究】 JavaMySQL-JDBC-第1章上机练习.zip
JDBC的学习及SQL注入
一点莹的博客
02-04 235
1.数据库驱动: 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。 应用程序----->Mysql驱动-------->Mysql数据库 2.JDBC的介绍: SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范由Java语言编写(
第三章 JDBC技术访问数据库
墨渐生微的博客
09-10 283
JDBC是Java数据库连接技术的简称,提供连接各种数据库的能力             Connection  接口  此接口用于连接数据库             DriverManager  类  用于管理数据库驱动, 创建数据库连接             Statement  接口  执行SQL语句并将数据检索到ResultSet中             ResultSet  ...
第四章 SQL注入
weixin_51186121的博客
08-11 973
SQL注入问题说的是:用户输入的信息中含有SQL语句关键字,和程序中的SQL语句进行字符串拼接,导致程序中的SQL语句改变了原意。原因是:用户提供的信息中有SQL语句关键字,并且和底层的SQL字符串进行了拼接,变成了一个全新的SQL语句。,也就是说:用户提供的信息中即使含有SQL语句的关键字,那么这个信息也只会被当做一个值传递给SQL语句,用户提供的信息不再参与SQL语句的编译了,这样就解决了SQL注入问题。如果以上的SQL语句能够查询到结果,说明用户名和密码是正确的,则登录成功。
JDBC中的SQL注入
DZH2020的博客
08-14 1196
JDBC中的SQL注入
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 1114
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
JDBC简单入门以及SQL注入
小林子的博客
04-17 209
import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import org.junit.Test; public class JdbcDemo_01 { @Test public void demo01() thr...
JDBC编程——SQL注入问题以及解决方案
Best_Basic的博客
09-05 1078
SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 解决SQL注入问题的方案: 只要用户提供的信息不参与sql语句的编译过程,问题就解决了。 即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1626
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBC如何有效防止SQL注入
DylanAndroid
12-21 9364
JDBC批量插入数据优化,使用addBatch和executeBatch 在之前的玩转JDBC打造数据库操作万能工具类JDBCUtil,加入了高效的数据库连接池,利用了参数绑定有效防止SQL注入 中其实忽略了一点,那就是SQL的批量插入的问题,如果来个for循环,执行上万次,肯定会很慢,那么,如何去优化呢? 一.用 preparedStatement.addBatch()配合prepa
idea操作jdbc(CRUD、SQL注入、预编译)
qq_61727355的博客
08-14 921
2)在idea中新建lib目录存放jar包(需右击add as library)3)编码测试,测试插入一条数据。CRUD操作-create。CRUD操作-update。CRUD操作-delete。1)提取配置信息(解耦合)CRUD操作-read。
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6366
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBC:使用Statement操作数据库时产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 625
SQL注入问题简单介绍 1.JDBC中使用Stement对数据库增删改查, 执行sql语句时使用拼接字符串会导致SQL注入 2.JDBC中使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。 建表语句(本人使用的数据库是mysql数据库) create datebase basketball; use basketball; create table l
基于人工势场法的动态路径规划算法与曲线平滑处理-自定义地图、起点、目标点与障碍物,可与A*和RRT融合应对动态障碍物(仅供学习参考使用),基于人工势场法的 动态路径规划+曲线平滑处理 路径规划算法
01-20
基于人工势场法的动态路径规划算法与曲线平滑处理——自定义地图、起点、目标点与障碍物,可与A*和RRT融合应对动态障碍物(仅供学习参考使用),基于人工势场法的 动态路径规划+曲线平滑处理 路径规划算法 地图好修改 自己研究编写的Matlab路径规划 可自行设置起始点,目标点,障碍物,自由更地图。 ——————————————————— 可以和A*和RRT融合 动态障碍物 预先声明:该程序为版权所述,仅供学习参考使用。 ,基于人工势场法的动态路径规划; 曲线平滑处理; 路径规划算法; 地图可修改; 自行设置起点与目标点; 障碍物设置; 与A*和RRT融合; 动态障碍物处理。,基于人工势场法的动态路径规划与曲线平滑处理系统——可自定义地图与障碍物
11 生产制造部门KPI指标(结合BSC).doc
01-20
11 生产制造部门KPI指标(结合BSC)
基于Python Flask框架的简单任务管理系统源码解析
最新发布
01-20
内容概要:本文档详细介绍了一款轻量级任务管理系统的构建方法,采用了Python语言及其流行Web框架Flask来搭建应用程序。从初始化开发环境入手到部署基本的CRUD操作接口,并结合前端页面实现了简易UI,使得用户能够轻松地完成日常任务跟踪的需求。具体功能涵盖新任务添加、已有记录查询、更新状态以及删除条目四个核心部分。所有交互行为都由一组API端点驱动,通过访问指定URL即可执行相应的操作逻辑。此外,在数据持久化层面选择使用SQLite作为存储引擎,并提供了完整的建模语句以确保程序顺利运行。最后,还提及未来拓展方向——加入用户权限校验机制、增强安全检查以及优化外观风格等方面的改进措施。 适合人群:熟悉Linux命令行操作并对Web编程有一定了解的技术爱好者;打算深入理解全栈开发流程或者正在寻找入门级别练手机会的朋友。 使用场景及目标:旨在为开发者传授实际动手编写小型互联网产品的技巧,尤其适用于个人作业管理或者是小团队协作场景下的待办事项追踪工具开发练习。通过亲手搭建这样一个完整但不复杂的系统,可以帮助学习者加深对于前后端协同工作流程的理解,积累宝贵的实践经验。 其他说明:虽然当前实例仅涉及较为基础的功能模块,但在掌握了这套架构的基础上,读者完全可以依据自身业务特点灵活调整功能特性,满足更多个性化定制化需求。对于初学者来说,这是一个非常好的切入点,不仅有助于掌握Flask的基础用法和技术生态,还能培养解决具体问题的能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值