解决SQL注入问题

最新推荐文章于 2024-04-10 23:46:04 发布
最新推荐文章于 2024-04-10 23:46:04 发布
阅读量411 收藏 1
点赞数 2
分类专栏: Java MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Summer_Shorts/article/details/107491913
版权

大家在写登录代码时,有时候会不注意SQL注入问题,这就可能给某些人一些可乘之机,那么什么是sql注入问题呢?

SQL注入问题是在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题。

简单的来说就是输入“a' or 'a' = 'a ”,可以直接登录进去。

  • 今天呢也给大家带来了解决问题的方式,使用PreparedStatemnt对象解决,用?作为占位符。在上一篇代码的基础上修改:(定义sql、获取对象、给?赋值、执行sql)
public boolean login(String username,String password){

        //判断连接数据库是否成功
        if (username == null || password ==null){
            return false;
        }

        Connection conn = null;
        PreparedStatement pstmt =null;
        ResultSet rs =null;

        try {
            //1.注册驱动,获取连接
            conn = JDBCUtils.getConnection();
            //2.定义sql
            String sql="select * from user where username = ? and password = ?";
            //3.获取执行sql的对象
            pstmt = conn.prepareStatement(sql);

            //给?赋值
            pstmt.setString(1,username);
            pstmt.setString(2,password);

            //4.执行查询,不需要传递sql
            rs = pstmt.executeQuery();
            //5.判断
            return rs.next();

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally{
            JDBCUtils.close(pstmt,conn,rs);
        }

        return false;
    }
  • 运行结果

注意:后期都会用PerparedStatement来完成增删改的所有操作,可以防止SQL注入而且效率也会更高!

 

Summer_Shorts
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 32
    评论
专栏目录
sql注入详解
m0_73109590的博客
08-03 997
SQL注入(SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。...
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
Sql注入问题
weixin_44543312的博客
09-17 998
开发工具与关键技术: Eclipse java 撰写时间:2020年8月8日 一、 问题SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全性问题。 比如:随便输入用户名, 输入密码:a’ or ‘a’ = ‘a sql:select * from user where username = ‘随便’ and password = ‘a’ or ‘a’ = ‘a’ 输入的密码类似于a’ or ‘a’ = 'a这样的格式的一般都是可以登陆成功的。这就存在用户登陆的
SQL注入问题
huangyh技术栈
12-26 353
1.1 SQL注入问题 SQL攻击的原理:通过 ’ 或者or语句去改变SQL的判断条件。 我们在做一些登录的时候,可能会存在SQL攻击问题,别人可以使用任意的用户名以及密码进行登录。 用户名: aaa ' or ' 1=1  密码:aadsfs ' or ' 1=1  1.2 解决SQL注入问题  PreparedSatement 预编译的对象  1.3 PreparedS...
sql注入问题
sylinx
06-23 116
在工厂里面做的几个应用程序登陆验证都是如下: [code="java"] String hql = "from UserPower as u where u.username = '" + user + "' and u.password ='" + psw + "'"; [/code] 今天我的同学发现了这个SQL注入问题,赶紧把这个问题点给修复了. [img][/img]...
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
如何解决sql注入问题
07-22
### 如何解决SQL注入问题:全面解析与防范策略 #### SQL注入概述 SQL注入是一种常见的安全漏洞,攻击者通过在应用程序的输入字段中插入恶意SQL语句,利用这些语句来操控数据库,获取未授权的数据访问,修改或破坏...
mybatissql_mybatis解决sql注入
12-22
标题 "mybatissql_mybatis解决sql注入" 暗示了我们正在讨论MyBatis框架如何处理SQL注入问题SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为...
Nginx中防止SQL注入攻击的相关配置介绍
09-30
在Nginx中防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
使用LINQ解除SQL注入安全问题
weixin_33842304的博客
09-12 99
在开发人员承受越来越多的安全责任之时,许多开发人员了解到的第一个Web应用安全漏洞,是一个被称为“SQL注入”的极危险的命令注入形式。命令注入的原始的形式本是指这样一种漏洞:***者通过提供一个正常使用者意料之外的输入,改变你的Web应用程序的运行方式,从而允许***者运行服务器上的非授权的命令。无疑,SQL注入式***是很常见的、被广泛使用的***形式。幸运的是,一旦我们理解了这个问题,就可以很...
Sql 注入问题总结
JimGray的博客
05-14 684
一、什么是sql 注入  所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。    示例一:恶意SQL 命令:// 设定$name 中插入了我们不需要的SQL语句 $name = "Qadir'; DELETE FROM users;"; mysql_query("SELECT * FROM users WHERE
SQL注入相关问题总结
Bossfrank的博客
04-21 1317
本文介绍了SQL注入相关问题,包括各种SQL的注入类型、防御手段、绕过方法等。也可以作为面试的复习参考。
sql注入漏洞简单讲解与实战
最新发布
Lenovoliao的博客
04-10 2074
SQL注入(SQL Injection)是一种常见的网络安全漏洞,攻击者利用该漏洞向应用程序的数据库发送恶意的SQL查询,从而绕过身份验证、获取敏感数据或者对数据库进行修改。SQL注入通常发生在与数据库交互的Web应用程序中,尤其是那些直接将用户输入拼接到SQL查询语句中的应用程序。攻击者利用SQL注入漏洞时,常常通过在输入字段中插入SQL代码来干扰、扩展或篡改原始SQL查询的执行。这种攻击可以使攻击者获得未经授权的数据访问权限,例如用户凭证、个人信息或者敏感业务数据。
解决SQL注入
我想要一颗西柚
10-08 253
使用PreparedStatement 取代 Statement PreparedStatement 解决SQL注入原理, 运行在SQL中参数以?占位符的方式表示 select * from user where username = ? and password = ? ; 将带有?的SQL 发送给数据库完成编译 (不能执行的SQL 带有?的SQL 进行编译 叫做预编译), 在SQL编译后发现...
sql注入,怎么解决
qq_38983577的博客
08-30 3199
什么是sql注入:     就是通过输入某些参数,达到改变sql语句本身的含义,这种情况就称为sql注入,比如你输入密码时产生了一段sql语句: SELECT * FROM TABLE_NAME WHERE ID="输入值"; 用户在最后加了一个or 1=1;则执行的sql语句where条件永远为真。查询出来是啥就不说了。 那么怎么解决sql注入呢? 1、对输入字符进行校验过滤(正则或j...
SQL注入介绍
diaoweisang7683的博客
05-04 235
一、SQL注入概念   1、sql注入是一种将sql代码添加到输入参数中   2、传递到sql服务器解析并执行的一种攻击手法   举例:某个网站的用户名为name=‘admin’。执行时为select name from users where name=‘admin’     则输入时输入name='' or '1=1'。实则数据库中执行的是select name from u...
SQL注入问题解决
zh_tnis的博客
08-24 417
1.什么是SQL注入? 通过SQL语句代码的漏洞,进而攻击系统,从而引起数据泄露。 例如:我的数据库表中的字段记录是 当我Java与数据库进行连接后使用姓名查询,输入'or 1 or'。这个姓名很明显是不存在的,但是查询出来的结果是 可以看到,使用'or 1 or'查询出来的结果是我之前进行查询过的结果,这就是SQL注入。 2.解决SQL注入。 2.1可以对Java语言中传递的字符进行预处理,但是量大,实施时间过长,难以实现。 2.2使用PerpredStatement与数据库连接,获
sql_不使用or查询 0 和null_ISNULL(a.status,0)=0 和 case when else end
icecoola_的博客
01-24 1904
` 三种状态: 0 1 null ` 查询 0 和 null 方法一: 不使用 or isnull() select a.status ,a.* from t_table a where ISNULL(a.status,0)=0 and a.isDelete =...
评论 32
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值