使用PrepareStatement,防止SQL注入

最新推荐文章于 2022-05-14 13:48:14 发布
最新推荐文章于 2022-05-14 13:48:14 发布
阅读量351 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ant_in_it/article/details/104788645
版权
本文通过模拟SQL注入,详细解释了PreparedStatement如何防止此类安全问题。在案例中,由于PreparedStatement将参数名替换为'?',导致查询条件变为'中国' or 1=1,从而返回空结果集,有效避免了SQL注入攻击。
摘要由CSDN通过智能技术生成

* 模拟sql注入,使用preparedstatment防止sql注入


import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;


/**
 * 模拟sql注入,使用preparedstatment防止sql注入
 * @author 可敢离我近点
 *
 */
public class SqlInjection {
   

public static void main(String[] args) {
   
		
		/**
		 * 如果需要在finally块中手动关闭,就需要在try外声明
		 * 如果想要让其自动的关闭,则可以在try后面加一个括号初始化
		 * 先关闭statement,后关闭connection
		 * resultset结果集不需要手动关闭,他会在你关闭statement时自动的关闭
		 */
		Connection con=null;
		PreparedStatement ps = null;
		Statement st = null;
		int i = 0;
		//初始化驱动
		try {
   
			Class.forName("com.mysql.jdbc.Driver"
最低0.47元/天 解锁文章
可敢离我近点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Web 学习之JDBC 基础(篇2)
焱宣的博客
03-07 775
篇1 介绍了使用JDBC 连接数据库及部分API 实现sql 查询,及数据库资源的回收,本篇主要是围绕 PrepaeredStatement对象的使用Sql注入相关: 1.Sql 注入: sql注入是比较常见的网络攻击形式,它利用现有的程序漏洞,将恶意的Sql命令注入后台数据库,最终达到欺骗服务器并实现攻击者的意图,在程序运行过程中,Sql注入会造成数据库信息泄露,网页被篡改,网站被挂木马等问题, 如接下来的两个Sql 语句: Select * from ...
怎么得到PreparedStatement查询条数的结果
qq_32534441的博客
11-01 3990
方法一: PreparedStatement st = conn.prepareStatement("select count(*) from jinchun"); ResultSet rs=st.executeQuery(); while(rs.next()) { //打印的就是总记录数。把检索结果看成只有一跳记录一个字段的表 System.out.println(rs.ge...
JDBC~Java中的JDBC概述、连接数据库的注意点、利用PreparedStatement实现增删改
zxc的博客
05-14 409
文章目录JDBC概述步骤连接数据库的几种方式利用JDBC操作数据库利用JDBC实现添加(insert)利用JDBC实现删除(delete)包装相同的代码,实现修改(update)利用JDBC实现一个方法增删改 JDBC概述 JDBC是JAVA提供的一组API,可以用来访问不同的数据库 这组接口是sun公司提供的,不同的数据库厂商会针对这组接口提供不同的实现,这些实现就是每个数据库的驱动 步骤 必须有的对象:Connection、Statement 中间执行SQL语句 使用完成后关闭资源 连接数据库
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 806
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
如何防止sql注入
12-14
使用PreparedStatement防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不会导致SQL语句的...
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
java防止SQL注入
11-19
PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, password); ResultSet rs = preState.executeQuery(); 2. 采用正则表达式 可以使用正则表达式...
mybatis如何防止SQL注入
蜻蜓队长
09-11 1241
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
JDBC(五)PreparedStatement 详解
weixin_33962923的博客
03-03 304
PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下有点: 简化Statement中的操作 提高执行语句的性能 可读性和可维护性更好 安全性更好。 使用PreparedStat...
JDBC PreparedStatement SQL IN条件
一名可爱的技术搬运工
05-30 3462
Java JDBC PreparedStatement示例创建一个SQL IN条件。 1. PreparedStatement +数组 在JDBC中,我们可以使用createArrayOf来创建PreparedStatement IN查询。 @Override public List<Integer> getPostIdByTagId(List<Integ...
java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!!
iteye_6274的博客
03-02 525
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try {...
深入理解MyBatis(三)—MyBatis的Update操作执行流程
tuzhenyu的博客
09-08 8557
深入理解MyBatis(三)—MyBatis的Update操作执行流程 通过配置文件的解析以及Configuration对象的生成,MyBatis完成了初始化;初始化完成后通过获取的SqlSessionFactory,可以得到SqlSession用来进行动态操作; MyBatis中的insert操作,delete操作,update操作实质上底层都是调用update;本文以inse
Oracle试用PreparedStatement出现java.sql.SQLException: 无效的列索引
u011882565的专栏
09-02 3839
sql语句如下:select bu.deptno,count(bu.hiredate) StartMonthCount from userinfo bu,dept d where bu.deptno=d.deptno and bu.hiredate java程序中调用:pstmt.setString(1, firstDay); 出现如下异常 java.sql.SQLException: 无效
SQL注入以及使用PreparedStatement解决SQL注入
weixin_44250483的博客
04-15 622
SQL注入 SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。 使用PreparedStatement防止SQL注入SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值 PreparedStatement会把所有用来替换占位符的都当成字符串处理 package com.jing.jdbc; import com.jing.utils.JDBCUtils; import
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5869
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 String
preparestatement sql注入
最新发布
03-16
好的,以下是使用PreparedStatement进行SQL输入的示例代码: ...需要注意的是,使用`PreparedStatement`可以有效地防止SQL注入攻击,因为占位符的值会被自动转义,避免恶意输入对数据库造成危害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值