【java】JDBC与防止sql注入

最新推荐文章于 2024-08-12 21:26:50 发布
最新推荐文章于 2024-08-12 21:26:50 发布
阅读量3.9k 收藏 7
点赞数 1
分类专栏: # mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aiming66/article/details/85046972
版权
java 同时被 2 个专栏收录
30 篇文章 2 订阅
订阅专栏
mysql
13 篇文章 2 订阅
订阅专栏

文章目录

一、JDBC概述

JDBC:JavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。
JDBC是一种用于执行SQL语句的 java api。
JDBC可以为多种关系数据库提供统一访问入口。
JDBC由一组Java工具类和接口组成。

二 、JDBC 原理

SUN 提供的访问数据库的规范成为JDBC,而生产厂家提供规范的实现类成为驱动。
在这里插入图片描述
JDBC 是接口,驱动是接口的实现,没有驱动将无法完成数据库的链接,从而不能操作数据库。每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库生成长商提供。

三、JDBC 开发步骤【myeclipse】

1、注册驱动
2、获取链接
3、获得数据库执行者
4、执行sql语句
5、处理结果
6、释放资源

##1) 导入驱动jar包
1.1) 创建lib目录,用户存放当前项目所需要的所有的jar包
1.2) 选择jar包,右键执行“build path/ add to build path”
在这里插入图片描述

2) 注册驱动

class.forname("com.mysql.jdbc.Driver");

1.jdbc 规范定义驱动接口java.sql.Driver, mysql 驱动包提供了实现类:com.mysql.jdbc.Driver
2.DriverManager 工具类,提供注册驱动类的方法registerDriver(),
方法的参数是java.sql.Driver,所以我们可以退通过下面语句进行注册DriverManager.registerDriver(new com.mysql.jdbc,Driver());
但是我们不推荐这样的方式:a)这是硬编码,不利于后期维护,b)驱动被注册了两次.
3.通常开发我们使用class.forname() 加载一个使用字符串描述的驱动类。如果使用class.forname() 将类加载到内存,该类的静态代码将自动执行。因为我们通过查com.mysql.jdbc.Driver 源码,可以发现Driver类会主动注册自己。
在这里插入图片描述

3)获取链接:

Connection con=DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb1","root","123");

获取链接需要方法DriverManager.getConnection(url,username,password),三个参数分表为
url:需要连接数据库的位置(网址);
user:用户名;
password:密码;
url比较复杂,下面是mysql的url。

jdbc:mysql://ocalhost:3306/mydbl
JDBC规定的格式由三部分组成,每个部分中间使用冒号分隔。
第一部分是jdbc,这是固定的;
第二部分是数据库名称,那么连接mysql数据库,第二部分当然是mysql了;
第三部分是由数据库厂商规定的,我们需要了解每个数据库厂商的要求,mysql的第三部分分别由数据库服务器的IP地址(localhost)、端口号(3306),以及DATABASE名称(mydb1)组成。

扩展url:
jdbc:mysql://localhost:3306/mydbl?useUniCode=true&characterEncoding=UTF8
1、useUnicode参数:指定这个连接数据库的过程中,使用的字节集是Unicode字节集;
2、characherEncoding参数:指定Java程序连接数据库的过程中,使用的字节集编码为UTE-8编码。
3、请注意,mysqi中指定UTF-8编码是给出的是UTF8,而不是UTF-80要小心了!

4)定义执行语句

string sql="insert into userinfo(username,password)values('root','123')";
//定义statement执行对象
Statement st=con.createstatement();

执行sql语句常用方法:

  • int executeUpdate(string sql); //执行insert update delete语句
  • ReusltSet executeQuery(string sql); //执行select 语句
  • boolean execute(string sql); //执行select语句返回true,执行其他语句返回false。
    如果返回true,需要使用getResultSet()获取查询结果。
    如果返回false,需要使用getupdatecount()获取影响的函数。

注意:如果有参数,需要在sql语句中进行拼接,存储sql注入问题。

5)处理结果集

ResultSet 实际上是一张二维的表格,它内部有一个“行光标”,光标默认位置在第一行的上方,我们可以调用rs对象的next()方法吧“行光标”向下移动一行,当第一次调用next()方法的时候,行光标就到了一条记录的位置,这是我们就可以 使用ResultSet提供的getXXX(int col)方法来获取制定列是数据了。

rs.next();//光标移动到第一行
rs.getInt(1);//获取第一行第一列数据。

在这里插入图片描述
在ResultSet中提供的getXXX()方法中常用的有如下几种:
object getobject(int col);
string getstring(int col);
int getint(int col);
double getDouble(int col);

6) 释放资源

与IO 流一样,使用后的东西需要关闭,关闭的顺序是先得到后关闭,后得到,先关闭。

rs.close();
st.close();
con.close();

四、实例:

package jdbctest;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;



public class mylogin {

  
	public static void main(String[] args) throws SQLException{
				//1、注册驱动
				try {
					Class.forName("com.mysql.cj.jdbc.Driver");
				} catch (ClassNotFoundException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
				
				//2、获取链接
				Connection	conn=DriverManager.getConnection("jdbc:mysql://Localhost:3306/mydb","cheng","123456");
				//3、创建执行对象
				Statement st=conn.createStatement(); //引入:import java.sql.Statement;
				//4、 sql语句
				String sql="select * from user where username="+"'root' "+" and password="+"'123456';";
				//5、执行语句
				ResultSet rs=st.executeQuery(sql);//引入:import java.sql.ResultSet;
				//6、对结果集进行处理
				if(rs.next())
				{
					System.out.print("登录成功");
				}
				else{System.out.print("登录失败");}
				//7、释放资源
				if(rs!=null) rs.close();
				if(st!=null) st.close();
				if(conn!=null) conn.close();
	
	}
}

五、sql注入:

package jdbctest;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;






public class mylogin {
	
	public static void main( String[] str) throws SQLException{
//				String username="root";
//				String password="123456";
		
		
		
				//1、注册驱动
				try {
					Class.forName("com.mysql.cj.jdbc.Driver");
				} catch (ClassNotFoundException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
				
				//2、获取链接
				Connection	conn=DriverManager.getConnection("jdbc:mysql://Localhost:3306/mydb","cheng","123456");
				
				//3、 sql语句
				String sql="select * from user where username='?'"+" and password='?'";
				//4、 创建预处理对象
				PreparedStatement pstmt = conn.prepareStatement(sql);
				System.out.print(sql);
				
				//4.1 设置参数
				pstmt.setString(1,"root");
				pstmt.setString(2,"123456");
				
				//5、执行语句
				ResultSet rs=pstmt.executeQuery(sql);//引入:import java.sql.ResultSet;
				//6、对结果集进行处理
				if(rs.next())
				{
					System.out.println("登录成功");
					System.out.println(sql);
				}
				else{System.out.print("登录失败");}
				//7、释放资源
				if(rs!=null) rs.close();
				if(pstmt!=null) pstmt.close();
				if(conn!=null) conn.close();
	
	}
}
aiming66
关注
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1209
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
JDBCsql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 864
JDBCsql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 556
SQL注入(SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5112
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 534
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
在使用jdbc的时候,如何防止出现sql注入的问题
qq_65951398的博客
05-30 1616
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句中,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库中。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库中存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来sql注入 2、在使用Mybatis框架...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
总的来说,Java SQL Inspector是开发过程中一个宝贵的辅助工具,能够帮助团队提高代码安全性,防止SQL注入攻击。结合良好的编程习惯和安全意识,开发者可以构建更健壮、更安全的应用程序,保障用户的数据安全。
5、jdbc直连模式下的迷糊查询关键字in防止sql注入的理解
q17709583436的博客
05-19 438
一般我们处理sql注入问题都是通过参数化查询,但是有些sql对于有些迷糊查询的sql 语句比如 String sql = "selet * from table_name where target_id in ('111','222','333','444')"; 那么我们如果对这种进行参数化查询呢? 1、首先我们要变成问号? 使用的方法是: public static String getMe(Collection<String> params) { Strin
如何保护 JDBC 应用程序免受 SQL 注入
allway2的博客
07-22 403
用SQL编写的查询语句用于操作数据库的内容和结构。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。这可以防止SQL注入攻击的根本原因,因为在SQL注入中,其想法是混合代码和数据,其中数据实际上是伪装成数据的代码的一部分。...
JDBC_演示如何防止SQL注入
坤坤
03-01 263
该案例需要在数据库中插入一张表格。create table robin_user_zqk( id NUMBER(6), name VARCHAR2(100), pwd VARCHAR2(100));insert into robin_user_zqk(id,name,pwd)VALUES (1,'jerry','123')insert into robin_user_zqk(id,name,pwd...
JDBC 防止SQL注入
m0_52376209的博客
08-02 311
sql语句参数化,防止sql注入 创建命令发送器(prepareStatement) 在选择命令发送器时,不再使用createStatement,而是使用prepareStatement 在建立连接后,先写好sql语句,使用?占位 //1.注册驱动 Class.forName("com.mysql.cj.jdbc.Driver"); //2.建立连接 Connection connection = DriverManager.ge
JDBC防止sql注入
shuangyvshenshi的专栏
06-30 388
1.过滤sql中某些字符 public static string Filter(string value) { if (string.IsNullOrEmpty(value)) return string.Empty; value = Regex.Replace(value, @";", string.Empty);
jdbc防止sql注入问题
m_target的博客
07-28 693
java.sql 接口 PreparedStatement    表示预编译的 SQL 语句的对象 是Statement的子类     特点:             性能高、会把sql语句预先编译、sql语句中的参数会发生变化,过滤掉用户输入的关键字 public class LoginDemo { public static void main(String[] args) {...
java,jdbc防止sql语句注入小demo
小宇学Java
06-23 160
demo没有sql注入机制加入sql注入机制 没有sql注入机制 package com.bjpowernode.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class JDBC { public static void main(String[] args) { //初始化界面 Map<Str
jdbc防止sql注入学习记录
xiaolintan的专栏
02-09 3651
package cn.itcast.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class SQLInject { p
JDBC防止SQL注入,工具类,CRUD
Syntacticsugar's blog
09-12 885
  CRUD代码;   package jdbcCRUD; import java.sql.Connection; import java.sql.PreparedStatement; /** * @auther SyntacticSugar * @data 2018/9/12 0012下午 9:15 */ public class Increase { private ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

aiming66

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值