JDBC—sql注入的安全性问题

最新推荐文章于 2021-08-10 23:48:54 发布
最新推荐文章于 2021-08-10 23:48:54 发布
阅读量399 收藏 1
点赞数
分类专栏: JAVAWeb 文章标签: jdbc sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/William_GJIN/article/details/104702060
版权

sql注入的安全性问题

在使用 Statement 类执行 sql 对象时,拼接的 sql 语句可能会有特殊关键子参与字符串拼接,造成数据库信息泄露等问题。

使用 Statement 类的 sql 语句格式:

String sql = "select *from admin where name = '"+username+"' and password = '"+password+"'";

当遇到 sql 注入语句:

请输入用户名:
abcdefg
请输入密码:
s' or 'a' = 'a
select * from user where username = 'abcdefg' and password = 's' or 'a' = 'a'
登录成功!

可以看到 sql 语句不管用户名和密码是什么,该语句都会正确执行,登录成功并获得所有用户信息!

解决方法

为了避免恶意的 sql 注入,就要用到 PreparedStatement 类:

String sql = "select *from admin where aname = ? and apassword = ?";

执行语句为:

pstmt = conn.prepareStatement(sql);

赋值语句为:

pstmt.setString(1,username);
pstmt.setString(2,password);

执行结果为:

请输入用户名:
abcdefg
请输入密码:
s' or 'a' = 'a
登录失败,用户名或密码错误!

成功避免了 sql 注入。

William_GJIN
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBCsql注入
qq_53755636的博客
08-20 254
JDBC全称是Java Database Connectivity(java数据库连接),是java连接数据库的标准和规范。SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题。 Mybatis中的sql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
JDBC——DAO和Statement的安全问题06
weixin_39337047的博客
03-30 182
DAO(Data Access Object) 所谓的DAO就是把连接数据库的前期工作都做好,提供几个方法来给用户调用而已。 为了未来能够方便修改,尽量定义接口,然后实现接口。 新建一个dao的接口,里面声明数据库访问规则 新建一个dao的实现类,具体实现早前定义的规则 直接使用实现 Statement的安全问题主要是:账号密码的登录需要拼接成一条sql语句去操作数据库,但这可能有会使得...
安全性JDBC和其他方面
ckawt40802的专栏
01-01 201
09年马上要结束了,BLOG每天更新又坚持了一年,目前文章总数1700多篇,其中纯技术文章将近1300篇。 我比较喜欢的一句话:十年磨一剑。以前提到过,坚持10年可能会比较困难,那么至少要坚持5年,到目前为止,BLOG更新已经...
JDBC中碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 275
Sql注入问题 学习JDBC的过程中学到了一个Sql的安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
JDBC中的遍历及安全问题
Willing卡卡的博客
04-04 451
JDBC遍历表的内容 ResultSet(结果集) 在执行查询SQL后,存放查询到的结果集数据; 接收结果集 ResultSet resultSet = statement.executeQuery(sql); String sql = "select student_id,student_name,sex,birthday,phone,GradeId from stu"; Result...
jdbc.rar_jdbc sqlserver2005
09-19
8. **安全性最佳实践**:如何配置和使用JDBC驱动以增强安全性,如使用预编译的SQL语句防止SQL注入攻击。 综上所述,这个压缩包文件应该包含了从JSP中使用JDBC连接SQL Server 2005的详细步骤,涵盖了数据库连接、SQL...
sqljdbc4,SQLserver架包
07-26
12. **安全性**:支持Windows身份验证、集成Windows安全模型以及SQL Server的认证模式,确保了数据的安全性。 综上所述,sqljdbc4作为SQL Server的JDBC驱动,为Java开发者提供了强大的工具,使其能够高效地在Java...
sqljdbc42 jdbc for java
07-19
3. 参数化查询:避免SQL注入攻击,应使用PreparedStatement进行参数化查询。 4. 使用JDBC 4.2新特性:如利用try-with-resources语法自动关闭资源,简化代码。 总结,SQLJDBC42作为Java与SQL Server之间的关键接口,...
jdbc sqlserver2014
03-08
`PreparedStatement`更安全,因为它允许预编译SQL,防止SQL注入。 4. **结果集处理**:执行查询后,结果会被返回为`ResultSet`对象。遍历结果集,获取每行数据并处理。 5. **事务管理**:JDBC支持事务控制,包括...
jdbc连接警告不安全
weixin_30466421的博客
06-11 147
Mon Jun 11 10:46:26 CST 2018 WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection mus...
谈谈JDBC
xiaoyou的专栏
06-20 1048
谈谈JDBCJDBC介绍 ★目标与哲学 ★接口概貌 ★使用场合 ★安全性考虑 1. 介绍  许多开发者和用户都在寻找Java程序中访问数据库的便捷方法。由于Java是一个健壮,安全,易于使用的,易于理解且可以从网络中自动download ,所以它成为开发数据库应用的一种良好的语言基础。它提供了C,C++,Smalltalk, BASIC, COBOL, and 4GLs的许多优点。许多公司已经开
sql安全
777
09-16 266
 一、空口令或弱口令   初学者在安装SQL Server时为了省事,SQL Server管理员sa 用的是空口令或弱口令,这样危险性十分巨大,而这些危险往往是初学者意识不到的,小王就觉得,自己的库是试验数据,没什么用,即使别人连上库也无所谓。殊不知SQL Server的默认用户sa的权限非常巨大,有种观点是sa的权限要大于administrator的权限,也就是说没有限制的sa用户可以做Win...
JDBC-用户登录(不安全)
whatname123的博客
09-07 203
package jdbc; import java.sql.*; import java.util.Scanner; import com.mysql.cj.protocol.Resultset; import com.mysql.cj.x.protobuf.MysqlxCrud.Collection; public class jdbc2 { public static void main(String[] args) throws Exception { // TODO 自动生成的方法存根
java jdbc连接_Java Web安全 || Java基础 JDBC Connection
weixin_39829501的博客
12-02 73
点击上方“凌天实验室”,“星标或置顶公众号”漏洞、技术还是其他,我都想第一时间和你分享“【历史】已连载更新全部内容:【菜单栏】-【JAVA SEC】JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须...
【java】JDBC与防止sql注入
程金鹏(程利鹏)
12-19 3919
文章目录一、JDBC概述二 、JDBC 原理三、JDBC 开发步骤【myeclipse】2) 注册驱动 一、JDBC概述 JDBC:JavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。 JDBC是一种用于执行SQL语句的 java api。 JDBC可以为多种关系数据库提供统一访问入口。 JDBC由一组Java工具类和接口组成...
JDBCSQL注入漏洞
m0_47649585的博客
08-10 225
使用PreparedStatement对象代替Statement对象执行SQL,该对象可以预编译SQL语句,固定SQL的格式和关键字,用?占位符表示传递的数据,后期设置数据即可。
(七)JDBC Statement安全问题
11-25 74
Statement执行 ,其实是拼接sql语句的。 先拼接sql语句,然后在一起执行。 前面先拼接sql语句, 如果变量里面带有了 数据库的关键字,那么一并认为是关键字。 不认为是普通的字符串。 ...
使用jdbc拼接条件查询语句时如何防止sql注入
云端笑猿的博客
04-27 2372
本人微信公众号,欢迎扫码关注! 使用jdbc拼接条件查询语句时如何防止sql注入 最近公司的项目在上线时需要进行安全扫描,但是有几个项目中含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接的SQL语句,真是令人抓狂。 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思...
jdbc sql注入
最新发布
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据中注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取敏感信息或者破坏数据库的完整性。 为了防止SQL注入,可以采取以下方法: 1. 使用预编译的SQL语句:预编译SQL语句中的参数使用占位符(例如?)代替实际的参数值。在执行SQL语句之前,必须为每个参数提供值。这可以防止恶意用户通过在参数中插入SQL代码来修改原始的SQL语句。 2. 输入验证和过滤:在接收用户输入的数据时,需要对其进行验证和过滤,确保只接受有效的数据。可以使用正则表达式或者特殊字符过滤函数来检查输入是否符合预期的格式,并且避免执行任何潜在的危险操作。 3. 最小权限原则:在数据库中,为应用程序使用的数据库用户分配最小的权限。这样即使发生了SQL注入攻击,攻击者也只能在权限范围内进行操作,无法对整个数据库造成破坏。 4. 输入参数化:尽量使用参数化的查询,而不是将用户输入直接拼接到SQL语句中。这样可以避免将用户输入的数据作为SQL代码的一部分执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值