PreparedStatement 防数据库注入漏洞攻击

最新推荐文章于 2024-05-04 16:43:09 发布
最新推荐文章于 2024-05-04 16:43:09 发布
阅读量2.3k 收藏
点赞数 3
分类专栏: JDBC 文章标签: JDBC 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SunShanai/article/details/46347973
版权

以前看过一些C#关于数据库的操作,记得其中用@来防止数据库注入漏洞攻击,现在由于实习需要,转向Java,学习Jdbc,正好在做数据库这一块,联想到Jdbc要怎么防止数据库注入漏洞攻击呢,于是百度Jdbc防止注入漏洞攻击,找到PreparedStatement类,在这里记一下,以便以后复习,也给入门级需要的朋友做一下参考,如有不对之处,还请指正。

首先看一下什么是sql注入漏洞,见下面的sql语句:


String sql = "select name,password from User where  name= '"+ userName + "'+ and 
password= '"+password+"'";


相信很多人都喜欢这样拼sql语句,但如果我们知道 某一个usrName,但不知道密码,于是我们传password的时候,

传入 or '1'='1, 结果也会登陆成功,这就是拼sql的坏处,于是就有了C#中的@,以及jdbc中的PreparedStatement

(注意与Statement的区别,Statement是PreparedStatement的父类,但其无法防止sql注入漏洞)
有了PreparedStatement,于是我们可以这么写 

ResultSet rs=null;
PreparedStatement stat = null;
Connection conn = null;
try{
Class.forName(".......");//加载数据库驱动
conn = DriverManager.getConnection(".....",".....", ".....");//获取数据库连接
String sql = "select name,password from User where  name = ? and password = ? ";
  pStat = conn.prepareStatement(sql);
pStat.setString(1,name);//name是要传的用户名
  pStat.setString(2,password);//password是要传的密码
rs=pStat.executeQuery(sql);
}
catch(Exception e){
e.printStackTrace();
}


利用PreparedStatement我们就可以有效的避免sql注入漏洞攻击了。



SunShanai
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入漏洞过程实例及解决方案
09-08
SQL注入漏洞是网络安全中的一个重要问题,它允许攻击者通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取未经授权的数据或执行恶意操作。本文将深入探讨SQL注入漏洞的过程,并提供具体的解决方案。 首先...
jsp PreparedStatement
iteye_9815的博客
11-02 196
PreparedStatement是执行预编译的一个类,也就是先把SQL语句格式发送到数据库,然后填充里面的参数。 为什么 PreparedStatement 很重要, 以及怎样"正确"使用他们. 数据库有一个艰苦的工作. 它们不断地从许多客户端读取 SQL 查询, 对数据进行尽 可能高效的 查询. 处理语句可能成为一个代价较高的操作, 但是现在数据库都是很...
网络安全最全网络安全-JDBC反序列化漏洞与RCE_jdbc rce
最新发布
2401_84265972的博客
05-04 898
没有docker-compose的读者可以使用。
使用PreparedStatement操作数据库
cchaos的博客
06-02 1030
package com.jdbc; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; import com.mysql.jdbc.Connection; import com.mysql.jdbc.PreparedStatement; /** * why? * 因为使用...
PreparedStatement的用法
凯尔探索
12-09 1800
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
C#知识点备忘
qq_41090880的博客
05-28 167
一、扩展方法 使你能够向现有类型“添加”方法,而无需创建新的派生类型、重新编译或以其他方式修改原始类型。 扩展方法是一种特殊的静态方法,但可以像扩展类型上的实例方法一样进行调用。扩展方法被定义为静态方法,但它们是通过实例方法语法进行调用的。 它们的第一个参数指定该方法作用于哪个类型,并且该参数以 this 修饰符为前缀。 二、.NET CORE依赖注入 IServ...
利用SQL注入漏洞拖库的方法
09-11
SQL注入漏洞是一种常见的网络安全问题,主要出现在Web应用程序中,允许攻击者通过输入恶意的SQL语句来操纵数据库。本文将深入探讨如何利用SQL注入漏洞进行拖库操作,即获取数据库中的全部或部分数据。 首先,理解...
javasql注入攻击过滤器
08-09
在Java开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过输入恶意SQL代码来操纵数据库,获取、修改或删除敏感数据。为了止此类攻击,开发者通常会使用一种称为“SQL注入过滤器”的机制。本篇文章将深入探讨...
SQL注入漏洞演示源代码
01-26
SQL注入漏洞是网络安全领域中的一个重要话题,它涉及到数据库管理和Web应用程序的安全性。在这个"SQL注入漏洞演示源代码"中,我们可以深入理解这种攻击方式的工作原理,并学习如何止它。 SQL注入是通过输入恶意的...
C#中数据的批量插入和更新_Asp.net
touchinsert
08-12 256
对于海量数据的插入和更新,ADO.NET确实不如JDBC做到好,JDBC有统一的模型来进行批操作.使用起来 非常方便: PreparedStatement ps = conn.prepareStatement("insert or update arg1,args2...."); 然后你就可以 for(int i=0;i<1000000000000000;i++){ ps.set...
PreparedStatement接口,prepareStatement方法
he_hchx的专栏
04-26 8450
1、public interface PreparedStatementextends Statement表示预编译的 SQL 语句的对象。 SQL 语句被预编译并且存储在 PreparedStatement 对象中。然后可以使用此对象高效地多次执行该语句。 注:用来设置 IN 参数值的 setter 方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类型兼
PreparedStatement 不定参数处理
xingyuncaojun的博客
04-25 1416
最近项目用到PreparedStatement,根据输入条件查询数据,输入条件不为空,则参与查询,为空,则不参与查询。网上搜了,也是按照网上的方法,也不算原创,记录一下。 参考文章:https://blog.csdn.net/dream_broken/article/details/44681597/ 代码如下: Connection conn = null; PreparedStatem...
C#连接数据库以及增、删、改、查操作
diaoying3176的博客
10-22 898
using System; using System.Collections.Generic; using System.Data.SqlClient; using System.Linq; using System.Text; using System.Threading.Tasks; namespace _03.ado.net { class Prog...
PreparedStatement 简介
热门推荐
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = "select * from people p where p.id = ? and p.name = ?"; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
使用preparedStatement来解决sql注入漏洞
WARGON的博客
07-17 1365
使用Statement来执行sql语句,如果语句中连接的有变量,那么可以对变量进行一些修改使绕过sql语句的判断条件。比如: public static boolean login(String username,String password) { Connection conn = null; Statement stmt = null; ResultSet rs = null...
预处理prepareStatement是怎么止sql注入漏洞的?
11-12 661
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预SQL注入...
mysql sql注入漏洞修复
10-24
MySQL SQL注入漏洞修复可以采用以下几种方法: 1. 使用预编译语句:使用预编译语句可以避免SQL注入攻击,因为预编译语句会将SQL语句和参数分开处理,从而避免了恶意用户在参数中注入SQL代码。例如,使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值