使用preparedStatement防止sql的攻击

最新推荐文章于 2023-07-10 15:34:20 发布
最新推荐文章于 2023-07-10 15:34:20 发布
阅读量278 收藏
点赞数 1
分类专栏: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coco0930/article/details/92455167
版权

preparedStatement的介绍

  1. preparedstatement为statement的子接口
  2. prepared的优点 防止sql的攻击 提高代码的可读性和可维护性
  3. 提高效率

什么是sql攻击

例如:用户在登录的时候输入的账号和密码都是sql语句的片段。

preparedStatement实现防止sql攻击的代码实现

package cn.itcast.demo3;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

import org.junit.Test;

/*
 * 使用preparedStatement实现阻止sql攻击
 * 
 */
public class demo3 {

    public boolean fun3(String username, String password) throws Exception {
        /*
         * 实现对jdbc的连接
         */
        Connection con = null;
        PreparedStatement prst = null;
        ResultSet rs = null;
        try {
            String driverClassName = "com.mysql.jdbc.Driver";
            String url = "jdbc:mysql://localhost:3306/mydb3";
            String mysqlUsername = "root";
            String mysqlPassword = "123";

            Class.forName(driverClassName);

            con = DriverManager
                    .getConnection(url, mysqlUsername, mysqlPassword);

            // 给出sql模板,
            String sql = "SELECT * FROM t_user WHERE username=? and password=?";

            prst = con.prepareStatement(sql);

            // 设置参数
            prst.setString(1, username);
            prst.setString(2, password);

            // 查询参数
            rs = prst.executeQuery();
            return rs.next();
        } catch (Exception e) {
            throw new RuntimeException(e);
        } finally {
            if (rs == null)
                rs.close();
            if (prst == null)
                prst.close();
            if (con == null)
                con.close();
        }

    }

    /*
     * 测试preparedStatement防止sql的功能是否正确
     */
    @Test
    public void fun4() throws Exception {
        String username = "zhangsan";
        String password = "123";
        boolean b = fun3(username, password);
        System.out.println(b);
    }
}

控制台输出的结果

false

味无味
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC中PreparedStatement如何防sql攻击
zjkC050818的博客
01-12 440
需要用到JUnit测试import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import org
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
防止SQL攻击之PreparedStatement使用
guozhaohui628
01-18 348
1. 导语可能有点标题党 哈哈,现在一般的网站登录,用户名和密码被正则限制的死死的,一般很难有漏洞通过sql语句,登录进去,但是不妨碍我们做一个demo,看看怎么的漏洞能被sql利用,同时学习怎样加强防备使用PreparedStatement来预防。 2. 学习一般我们登录时,一般会把我们的用户名和密码用来作为sql查询的条件,查询数据库,如果能查到则说明有次用户,如果查不到当然无此用户。查询时我
JDBC防止SQL攻击之PreparedStatement的用法
weixin_40584771的博客
10-26 205
public boolean login(String username, String passwo) throws Exception { /* * 一、得到Connection 二、得到Statement 三、得到ResuleSet 四、rs.next()返回的是什么,就返回什么 */ // 准备四大参数 String driverClassName = "com.mysql.j...
java sql注入防止_java - PreparedStatement如何避免或阻止SQL注入?
weixin_35346265的博客
02-20 196
要了解PreparedStatement如何阻止SQL注入,我们需要了解SQL Query执行的各个阶段。1.编译阶段。2.执行阶段。每当SQL Server引擎收到一个查询时,它必须通过以下阶段,解析和规范化阶段:在此阶段,将检查Query的语法和语义。 它检查是否引用表和查询中使用的列是否存在。它还有许多其他任务要做,但我们不详细说明。编译阶段:在此阶段,查询中使用的关键字如select,fr...
mybatis防止SQL注入的方法实例详解
08-27
SQL 注入攻击是一种简单的攻击手段,但可以通过遵循编程规范和使用预编译语句、存储过程等方法来防止。MyBatis 通过使用预编译语句和存储过程来防止 SQL 注入攻击。开发人员可以通过遵循编程规范和使用安全的编程...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql...若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
防止SQL注入和XSS攻击Filter
06-03
通过使用自定义的Filter来防止SQL注入和XSS攻击是一种常见且有效的安全措施。本文介绍了如何实现一个简单的XssFilter,并详细解释了其工作原理。在实际项目中,开发者还可以根据具体的业务需求进一步完善过滤逻辑,...
sql注入攻击和PreparedStatement有效防止sql注入攻击
PacosonSWJTU的博客
08-04 1310
【1】sql注入攻击: /** * SQL 注入. */ @Test public void testSQLInjection() { String username = "a' OR PASSWORD = "; String password = " OR '1'='1"; String sql = "SELECT * FROM user_tbl WHERE use...
JDBC(PreparedStatement,sql注入)
各种西瓜的博客
03-23 600
sql注入SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。简单的说就是由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。假设我的
PreparedStatement 为什么能够防止注入式攻击
IrvingW的博客
04-07 1937
其实是预编译功能,用preparedstatement就会把sql的结构给数据库预编译。SQL注入 攻 击 是利用是指利用 设计 上的漏洞,在目 标 服 务 器上运行 Sql语 句以及 进 行其他方式的 攻 击 , 动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。 对 于 JDBC而言, SQL注入 攻 击 只 对 Statem
JDBC中Statement接口的用法中需要注意sql注入的问题和使用PreparedStatement的基本用法
weixin_44007988的博客
10-05 154
JDBC中Statement接口的用法中需要注意sql注入的问题 在Statement接口中字符串只能以拼接的形式进行传递 package cn.com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; ...
MyBatis源码学习三——StatementHandler与拦截器原理
yx444535180的专栏
03-31 2940
文章目录一、StatementHandler1.1 RoutingStatementHandler1.2 PreparedStatementHandler二、拦截器2.1 InterceptorChain2.2 Intercepts注解三、PaginationInterceptor 一、StatementHandler 执行器Executer与缓存 上篇讲到一级缓存在BaseExecuter的queryFromDatabase()方法,当没有命中缓存时,从数据库中查询 doQuery(ms, parame
web安全之XSS攻击原理及防范
最新发布
xv66666的博客
07-10 827
content
SQL编写常见错误记录
weixin_34295316的博客
12-15 95
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring jdbcTemplate 应用
厚德载物
07-29 1500
Examples of JdbcTemplate class usage This section provides some examples of JdbcTemplate class usage. These examples are not an exhaustive list of all of the functionality exposed by the Jd
SQLStatement和PreparedStatement两种操作数据库比较,随记,2019.10.30
lingle1的博客
10-30 637
补充下 常见数据库驱动记录 驱动jar 具体驱动类 连接字符串 Oracle ojdbc-x.jar oracle.jdbc.OracleDriver jdbc:oracle:thin:@localhost:1521:数据库实例名 – – – – MySQL mysql-connector-java-x.jar com.mysql.jdbc.Driver jdbc:m...
preparedstatement防止sql
03-16
注入攻击的原理是什么? SQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而实现对数据库进行非法操作的一种攻击方式。攻击者通过在输入框中输入特定的字符,使得应用程序将这些字符作为SQL语句的一部分执行,从而达到控制数据库的目的。 PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免了SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,然后通过setXXX()方法来设置占位符的值,最后执行SQL语句。由于参数和SQL语句是分离的,攻击者无法通过输入特定的字符来改变SQL语句的结构,从而避免了SQL注入攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值