SQL注入

最新推荐文章于 2024-02-04 23:24:44 发布
最新推荐文章于 2024-02-04 23:24:44 发布
阅读量238 收藏
点赞数
分类专栏: MySql 文章标签: jdbc sql注入 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boxyuan/article/details/54730964
版权
1 Statement和PreparedStatement的特点
  a)对于创建和删除表或数据库,我们可以使用executeUpdate(),该方法返回0,表示未影向表中任何记录
  b)对于创建和删除表或数据库,我们可以使用execute(),该方法返回false,表示创建和删除数据库表
  c)除了select操作返回true之除,其它的操作都返回false
  d)PreparedStatement有发下的特点:      
    >>解决SQL注入问题,在绑定参数时,动态检测
    >>在发送相同结构的SQL时,较Statement效率有所提升
    >>使用?占位符替代真实的绑定值

    >>项目中,优先使用PreparedStatemen

//基于JDBC的CURD操作
public class Crud {
	public void create(String name,String gender,float salary){
		Connection conn = null;
		PreparedStatement pstmt = null;
		ResultSet rs = null;
		//问号表示某一类型的数据
		String sql = "insert into user(name,gender,salary) values(?,?,?)";
		try {
			conn = JdbcUtil.getMySqlConnection();
			pstmt = conn.prepareStatement(sql);
			//设置占位符参数名与返回值
			pstmt.setString(1,name);
			pstmt.setString(2,gender);
			pstmt.setFloat(3,salary);
			pstmt.executeUpdate();
		} catch (Exception e) {
			e.printStackTrace();
		}finally{
			JdbcUtil.close(rs);
			JdbcUtil.close(pstmt);
			JdbcUtil.close(conn);
		}
	}
	public void read(String name){
		Connection conn = null;
		PreparedStatement pstmt = null;
		ResultSet rs = null;
		//使用PreparedStement的参数使用占位符替代
		String sql = "select * from user where name = ?";
		try {
			conn = JdbcUtil.getMySqlConnection();
			pstmt = conn.prepareStatement(sql);
			//能过setXxxx()方法为占位符赋值,
			//在赋值的过程中动态检测,预防SQL注入问题的发生
			pstmt.setString(1,name);
			rs = pstmt.executeQuery();
			while(rs.next()){
				name = rs.getString("name");
				String gender = rs.getString("gender");
				System.out.println(name+":"+gender);
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally{
			JdbcUtil.close(rs);
			//多态原则
			JdbcUtil.close(pstmt);
			JdbcUtil.close(conn);
		}
	}
	public static void main(String[] args) {
		Crud crud = new Crud();
		//crud.read(" 'or true or' ");
		crud.create("tim","male",5000);
	}
}


boxyuan
关注
专栏目录
SQL 注入漏洞详解
Toasten
07-23 2097
SQL 注入即是指 Web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 Web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询从而进一步得到相应的数据信息。
sql注入
weixin_43801718的博客
09-19 703
sql注入: 所谓的SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或请求页面的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL注入中最常见利用的系统数据库,经常利用...
sql注入详解
热门推荐
内心不种满鲜花就会长满杂草
05-05 21万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
最新发布
qq_35716689的博客
02-04 37万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql 注入
qq_32265719的博客
10-24 183
配置JDBC连接池
不因俊俏难为友,正为风流始读书
02-02 2441
连接池      现在很多Web服务器(Weblogic, WebSphere, Tomcat)都提供了DataSoruce的实现,即连接池的实现。通常我们把DataSource的实现,按其英文含义称之为数据源,数据源中都包含了数据库连接池的实现。 也有一些开源组织提供了数据源的独立实现:               DBCP 数据库连接池(tomcat):DBCP 是 Apache 软件基
DB Utils框架的使用
不因俊俏难为友,正为风流始读书
02-03 998
DBUtils框架的使用:         commons-dbutils 是 Apache 组织提供的一个开源 JDBC工具类库,它是对JDBC的简单封装,学习成本极低,并且使用dbutils能极大简化jdbc编码的工作量,同时也不会影响程序的性能。因此dbutils成为很多不喜欢hibernate的公司的首选。             API介绍:
JDBC设置事务的隔离级别和转账案例
不因俊俏难为友,正为风流始读书
02-02 704
转帐案例    1)参见图>    2)项目中,事务可能在dao层,也可能在service层,不论在哪一层,都必须确保使用的都是同一个connection    3)为了确保在Service和Dao层中用到的Connection一致,你可以使用如下方案解决: a)将Service中的Connection传入Dao中 设计缺点: Service和Dao代码过分藕合 在Service
Mysql数据库B+树索引,聚集索引和非聚集索引
不因俊俏难为友,正为风流始读书
05-17 672
索引数据结构:二叉树:单边数据增长的情况数据查询会很慢红黑树(平衡二叉树):单边数据增长会做平衡处理,有自动平衡功能,左子树和右子树相差绝对值<=1,缺点:随着数据量增加树高越来越高,查询速度也越来越慢B树:基于平衡二叉树每个节点放多个元素,高度即变矮hash索引:对索引的key进行一个hash运算就可以定位到数据的存储位置,大多数时比B+树索引更快,仅能满足“=” “in”,不支持范围查找,hash冲突问题 B+树:非叶子节点放索引(冗余索引,存放每一个磁盘页的第一个元素,为了构建B+树),叶子节点
常用sql优化方法,索引失效场景,explain执行计划
不因俊俏难为友,正为风流始读书
04-12 623
常用sql优化方法 禁止使用select *,只查询出需要用到的字段 尽量减少表关联 合理使用索引 联合索引遵循最左前缀法 使用执行计划explain查看sql执行信息是否走索引 避免回表(覆盖索引) 分页查询优化 索引失效场景 ...
MySql数据库初识
不因俊俏难为友,正为风流始读书
01-24 494
1 什么是数据库    1)SQL=Structure Query Language     2)存数据的仓库/集合,并有一定的规则结构    3)SQL是客户端操作数据库一种工具/命令,主要以存取为主  2 各种常用数据库简介    Oracle/Java    SQLServler/Microsoft    DB2/IBM    ... ...    MySQL->L
元数据的使用
不因俊俏难为友,正为风流始读书
02-03 486
元数据的使用 进入DB Brower(按照下面操作):                     选择最前面的小图标(open prospective ):                                          选择 Database Explorer:                                      进入Database Explo
批处理和获取主键值
不因俊俏难为友,正为风流始读书
01-26 483
批处理:   1)想发送多条SQL,又要降低与数据库系统的交互,这时使用批处理   2)Statement对象:适合对不同结构的SQL做批处理操作   3)PreparedStatement对象:适合对相同结构的SQL做批处理操作 采用PreparedStatement.addBatch()实现批处理 优点:发送的是预编译后的SQL语句,执行效率高。 缺点:只能应用在SQL语句
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值