MySQL-15-SQL注入和PrepareStatement对象

最新推荐文章于 2023-05-10 21:04:38 发布
最新推荐文章于 2023-05-10 21:04:38 发布
阅读量202 收藏
点赞数
分类专栏: MySql 文章标签: 数据库 sql mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41656912/article/details/114652977
版权

MySQL-15-SQL注入和PrepareStatement对象

SQL注入

sql存在漏洞,会被攻击导致数据泄露(sql会被拼接主要由于sql语句中or运算符的存在)

本例工具类,接上篇文章

package com.cmy.lesson2;

import com.cmy.lesson2.utils.JdbcUtils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

/**
 * @Author Void
 * @Description //TODO 测试sql注入
 * @Date 12:04 2021/3/10
 * @Param
 * @return
 **/
public class SqlInjection {
    public static void main(String[] args) {
        login("'or '1=1","'or '1=1");
    }

    public static void login(String username,String password) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();
            st = conn.createStatement();

            //select * from `users` where `NAME` = ''or '1=1' AND `PASSWORD` = ''or '1=1'(拼接后查出全部)
            String sql =
                    "select * from `users` where `NAME` = '" +username+ "' AND `PASSWORD` = '"+password+"'";

            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println("name = "+rs.getString("NAME"));
                System.out.println("password = "+rs.getObject("PASSWORD"));
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

image-20210310122307140

Statement并不安全,由此引入PrepareStatement

PrepareStatement对象

可以防止sql注入,且效率更高,写sql语句更加友好

模板

import com.cmy.lesson2.utils.JdbcUtils;

import java.sql.Connection;
import java.util.Date;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class Test {

    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement pst = null;
        ResultSet rs = null;//查询一般放回结果集,
        try {
            conn = JdbcUtils.getConnection();
            //与statement 的区别
            //先搭建sql框架(预编译sql),并使用?充当占位符,
            String sql  = "";
            pst  = conn.prepareStatement(sql);//预编译sql
            //利用占位符传递参数 (第几个参数,值)
            pst.setInt(1,value);
            //...
            //执行 这里不再传参(预编译过了)
            int i = pst.executeUpdate();
            if (i>0){
                System.out.println("xx成功");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,pst,rs);
        }
    }
}

插入,删除,修改

......
        try {
            conn = JdbcUtils.getConnection();
       
            //与statement 的区别
            //先搭建sql框架(预编译sql),并使用?充当占位符,
            String sql  = "INSERT INTO `users`(`id`,`NAME`,`PASSWORD`,`email`,`birthday`) VALUES(?,?,?,?,?)";
            pst  = conn.prepareStatement(sql);//预编译sql

           //利用占位符传递参数 (第几个参数,值)
            pst.setInt(1,4);
            pst.setString(2,"Void");
            pst.setString(3,"123456");
            pst.setString(4,"2603135842@qq.com");
            // 注意 java.sql.Date 数据库用
            //     util.Date     Java  new Date().getTime()时间戳
            pst.setDate(5,new java.sql.Date(new Date().getTime()));

            //执行 这里不在传参(预编译过了)
            int i = pst.executeUpdate();
            if (i>0){
                System.out.println("插入成功");
            }
        }
......

......			
		try {
            conn = JdbcUtils.getConnection();
            //与statement 的区别
            //先搭建sql框架(预编译sql),并使用?充当占位符,
            String sql  = "delete from `users` where id = ?";
            pst  = conn.prepareStatement(sql);//预编译sql
           //利用占位符传递参数 (第几个参数,值)
            pst.setInt(1,4);
            //执行 这里不在传参(预编译过了)
            int i = pst.executeUpdate();
            if (i>0){
                System.out.println("删除成功");
            }
        }
......

......
		try {
            conn = JdbcUtils.getConnection();
            //与statement 的区别
            //先搭建sql框架(预编译sql),并使用?充当占位符,
            String sql  = "UPDATE `users` SET `NAME` = ? WHERE `NAME` = ?";
            pst  = conn.prepareStatement(sql);//预编译sql
            //利用占位符传递参数 (第几个参数,值)
            pst.setString(1,"王五");
            pst.setString(2,"wangwu");

            //执行 这里不再传参(预编译过了)
            int i = pst.executeUpdate();
            if (i>0){
                System.out.println("修改成功");
            }
        }
......

查询

...... 
		try {
            conn = JdbcUtils.getConnection();
            //与statement 的区别
            //先搭建sql框架(预编译sql),并使用?充当占位符,
            String sql  = "select * from `users` where id = ?";
            pst  = conn.prepareStatement(sql);//预编译sql
            //利用占位符传递参数 (第几个参数,值)
            pst.setInt(1,1);

            //执行 这里不再传参(预编译过了)
            rs = pst.executeQuery();
            while(rs.next()){
                System.out.println("name = "+rs.getString("NAME"));
                System.out.println("password = "+rs.getString("PASSWORD"));
            }

        }
......

防SQL注入原理

package com.cmy.lesson03;

import com.cmy.lesson2.utils.JdbcUtils;

import java.sql.*;

/**
 * @Author Void
 * @Description //TODO 测试prepareStatement sql注入
 * @Date 13:50 2021/3/10
 * @Param 
 * @return 
 **/
public class SqlInjection {
    public static void main(String[] args) {
//        login("zhansan","123456");
        login("'' or 1=1 ","'' or 1=1 ");//无效
        //原因是,prepareStatement将所有传入的参数转为字符,若其中存在转义字符,直接忽略:比如`会被直接转义

    }

    public static void login(String username,String password) {
        Connection conn = null;
        PreparedStatement pst = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();
            //select * from `users` where `NAME` = ''or '1=1' AND `PASSWORD` = ''or '1=1'(拼接后查出全部)
            String sql = "select * from `users` where `NAME` = ? AND `PASSWORD` = ?";
            pst = conn.prepareStatement(sql);
            pst.setString(1,username);
            pst.setString(2,password);

            rs = pst.executeQuery();
            while(rs.next()){
                System.out.println("name = "+rs.getString("NAME"));
                System.out.println("password = "+rs.getString("PASSWORD"));
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.release(conn,pst,rs);
        }
    }
}
Void_CM
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
preparestatment获取sql_总是报ps=conn.prepareStatement(sql);为空,怎么回事
weixin_35987118的博客
01-28 1269
这是本人的代码jdbcDB.javaprivatestaticStringdrivername=“com.mysql.jdbc.Driver”;privatestaticStringurl=“jdbc:mysql://localhost:3306/hotel”;privatestaticStringuser=“root”;privatestaticStringp...
使用PrepareStatement,防止SQL注入
Ant_in_IT的博客
03-11 365
* 模拟sql注入,使用preparedstatment防止sql注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
java prepare mysql_MySQL_(Java)使用preparestatement解决SQL注入的问题
weixin_42361026的博客
01-21 226
importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;importjava.sql.Statement;public classJDBC01 {public static ...
mysql preparedstatement insert_Java MySQL prepareStatement
weixin_29819639的博客
02-17 156
--Example of insertGet db connection to MySQL databaseCreate a sql statement, using the Java PreparedStatement syntax.set the parameters values for the Java PreparedStatement object.execute sql insert...
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1213
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
MySQL_(Java)使用preparestatement解决SQL注入的问题
weixin_30470857的博客
03-23 149
  MySQL_(Java)使用JDBC向数据库发起查询请求  传送门   MySQL_(Java)使用JDBC创建用户名和密码校验查询方法  传送门   MySQL数据库中的数据,数据库名garysql,表名garytb,数据库中存在的用户表      存在SQL注入问题   使用preparestatement做查询语句时可解决SQL注入的问题   ...
SQL注入与PreparedStatement
PPDY93的博客
07-30 181
文章目录一.Sql注入二.Statement三.Preparestment四.statement 和 preparedStatement 优缺点 一.Sql注入 利用Statement写一个用户登录,执行的sql将会是: 用户输入用户名:admin 用户输入密码: 123456 后台程序执行 select * from users where uname = ‘admin’ and pwd = ‘123456’ 如果改为如下输入信息 用户输入用户名:’ or 1=1 or ’ 用户输入密码: 12
mysql-connector-java-8.0.16
04-13
`PreparedStatement`允许预编译SQL语句,提高性能并防止SQL注入攻击。例如: ```java String sql = "INSERT INTO users (name, email) VALUES (?, ?)"; PreparedStatement pstmt = conn.prepareStatement(sql); ...
JDBC-02-sql注入问题、Statement 和 ComparedStatement
记录java学习日常~
05-10 573
它执行静态SQL语句,使用时需要手动输入SQL语句,因此它容易受到SQL注入攻击。每次使用Statement对象执行SQL语句时都必须将SQL语句重新解析,并且在网络上发送整个SQL语句。来代替SQL语句中的变量,然后通过调用setXXX()方法设置占位符的值。在执行SQL语句时,PreparedStatement对象将使用这些值来填充SQL语句。2、PreparedStatement对象是使用预编译的SQL语句创建的。预编译意味着在每次执行SQL语句时只需要向数据库发送参数,而不是整个SQL语句。
mysql-connector-java-5.1.30-bin.zip
10-28
PreparedStatement pstmt = conn.prepareStatement("INSERT INTO mytable VALUES (?, ?)"); pstmt.setInt(1, 123); pstmt.setString(2, "example"); pstmt.executeUpdate(); ``` 4. **处理结果集**: 如果是...
最新版 JDBC,版本号为mysql-connector-java-8.0.16
03-20
3. 创建Statement或PreparedStatement:创建一个Statement对象用于执行SQL语句,或者使用PreparedStatement预编译SQL,提高效率并防止SQL注入。 ```java Statement stmt = conn.createStatement(); // 或 ...
java-sec-code sql注入漏洞分析
weixin_44687621的博客
08-14 502
之前在idea上搭建了项目java security code,并做了点简单的测试。发现虽然有Eureka组件的报错,但是还是能完美地实现简单命令执行漏洞的,今天尝试以下sql注入漏洞。 环境搭建 启动mysql服务,查看连接是否正常,并建立对应的数据库和数据表 如果出现time zone的错误,请提升mysql版本。或将jdbc连接改为 String url = "jdbc:mysql://localhost:3306/sectest?serverTimezone=UTC"; 接下来,开启服务,访问h
PrepareStatement sql注入
想飞的鱼
12-07 1410
http://blog.csdn.net/badyflf/article/details/7926944 http://www.iteye.com/problems/32029 http://blog.csdn.net/badyflf/article/details/7926632
026_jdbc-mysql-PrepareStatement解决sql注入
aihiao的专栏
01-29 211
1. 新建一个JDBCPrepareStatement工程, 使用我们之前的JDBCUtil.java和jdbc.properties属性文件 2. PreparedStatement对象相比较以前的Statement对象, 预先处理给定的sql语句, 对其执行语法检查。 在sql语句里面使用?占位符来替代后续要传递进来的变量。后面不管传递什么进来, 都把它看成是字符串, 不会产生任何的关键字。 3. 使用PreparedStatement对象编写程序 4. 输入任意用户名和密码, 并且sql
mysql的PrepareStatement
zhanglm
06-09 174
dba发邮件说: [quote]如果是从java中连mysql,使用PrepareStatement的话,默认情况下真正发给服务器端之前已经把?替换了 也就是跟普通的Statement一样 在5.0开始虽然有了真正的PrepareStatement但是开启的方式令人匪夷所思 网上虽然有资料说设置useServerPrepStmts=true 可以开启 但事实上这是无...
MYSQL Prepare Statement
iteye_10063的博客
04-01 153
prepared statement 引用網址: http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html prepared statement prepared statement是什麼? Prepared statement 可以讓你在第一次執行時sql時,先設定sql敘述,讓以後...
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 897
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
MySQL Prepared Statement
gcl的博客
12-06 766
MySQL Prepared Statement
mysql的prepared statement
feigeswjtu的专栏
03-16 1861
写过java,rails,php等的同学都知道,mysql在执行中有一个占位符的sql,比如rails里: ModelTest.where("id = ?", 100) 但是在这个语句的背后,语言又做了什么事情呢? 调研看,它在生成sql之前会将占位符替换掉,生成真正的sql。 但是mysql里却是真正支持占位符的,它叫prepared statement。 用法如下: mysql>
mysql-connector-java怎么防注入
最新发布
11-27
为了防止SQL注入攻击,可以采用以下方法: 1.使用PreparedStatement代替Statement执行SQL语句,PreparedStatement可以预编译SQL语句,避免了SQL注入攻击。 ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery(); ``` 2.使用CallableStatement执行存储过程,CallableStatement同样可以预编译SQL语句,避免了SQL注入攻击。 ```java String sql = "{CALL get_user(?, ?)}"; CallableStatement cstmt = conn.prepareCall(sql);cstmt.setString(1, username); cstmt.setString(2, password); ResultSet rs = cstmt.executeQuery(); ``` 3.对用户输入的数据进行过滤和验证,例如使用正则表达式过滤非法字符,或者限制输入长度等。 ```java String username = request.getParameter("username"); if (username.matches("[a-zA-Z0-9]+")) { // 合法的用户名 } else { // 非法的用户名 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值