sql注入和预防--PreparedStatement

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量76 收藏
点赞数
分类专栏: 学习日记 文章标签: java 数据库 学习 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/credictPrime/article/details/128588282
版权

sql注入

package com.wkw.jdbc;

import com.wkw.pojo.Account;
import org.testng.annotations.Test;

import java.sql.*;
import java.util.ArrayList;
import java.util.List;


public class JDBCDemo5 {


    @Test

    public void Login() throws Exception {
        //1.注册驱动
       // Class.forName("com.mysql.jdbc.Driver");
        //2.获取链接

        String url="jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&useSSL=false";
        String username = "root";
        String password = "root";
        Connection conn = DriverManager.getConnection(url,username,password);

        //3.接受用户名和密码
        String name = "zhangsan";
        String pwd = "123";
        String sql = "select * from user where username = '"+name+"' and password = '"+pwd+"'";
        //获取stmt对象
        Statement stmt = conn.createStatement();

        //执行sql
        ResultSet rs = stmt.executeQuery(sql);

        //判断是否登陆成功
        if(rs.next()){
            System.out.println("登陆成功");
        }else{
            System.out.println("登陆失败");
        }

        //7,释放资源
       rs.close();
       stmt.close();
       conn.close();
    }

/*---------------------------普通登陆-------------------------------------*/


    @Test
    public void Login_inject() throws Exception {
        //1.注册驱动
        // Class.forName("com.mysql.jdbc.Driver");
        //2.获取链接
        String url="jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&useSSL=false";
        String username = "root";
        String password = "root";
        Connection conn = DriverManager.getConnection(url,username,password);
        //3.接受用户名和密码
        String name = "sdfgfsdg";
        String pwd = "' or ' 1 ' = ' 1";//注入,拼字符串

        String sql = "select * from user where username = '"+name+"' and password = '"+pwd+"'";
        //获取stmt对象
        Statement stmt = conn.createStatement();
        //执行sql
        ResultSet rs = stmt.executeQuery(sql);
        //判断是否登陆成功
        if(rs.next()){
            System.out.println("登陆成功");
        }else{
            System.out.println("登陆失败");
        }

        //7,释放资源
        stmt.close();
        conn.close();



    }
}

/*----------------------------sql注入------------------------------------------------------*/

预防SQL注入

package com.wkw.jdbc;

import org.testng.annotations.Test;

import java.sql.*;

/*PreparedStatement*/
public class JDBCDemo6 {


    public static void main(String[] args) throws  Exception {
        //1.注册驱动
        // Class.forName("com.mysql.jdbc.Driver");
        //2.获取链接

        String url = "jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&useSSL=false";
        String username = "root";
        String password = "root";
        Connection conn = DriverManager.getConnection(url, username, password);
        //3.接受用户名和密码
        String name = "zhangsan";
        String pwd = "' or ' 1 ' = ' 1";
        //定义sql
        String sql = "select * from user where username = ? and password = ?";
        System.out.println(sql);
        /* 获取pstmt对象 */
        PreparedStatement pstmt = conn.prepareStatement(sql);


        //设置?的值
        pstmt.setString(1, name);
        pstmt.setString(2, pwd);
        System.out.println(sql);
        //执行sql
        ResultSet rs = pstmt.executeQuery();

        //判断是否登陆成功
        if (rs.next()) {
            System.out.println("登陆成功");
        } else {
            System.out.println("登陆失败");

        }



        //7,释放资源
        rs.close();
        pstmt.close();
        conn.close();


    }


}
credictPrime
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
08-07
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
sql注入---入门到进阶
热门推荐
春日野穹
10-24 3万+
目录导航 sql注入的原理 sql注入的条件 sql注入的危害 sql注入的分类、验证及利用方式 sql数值型注入 sql注入的原理: 概述:针对SQL注入的攻击行为可描述为通过用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为,其本质就是对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行,sql注入产生的原理有以下几个方面 程序编...
JDBC__PreparedStatement-预防SQL注入
weixin_48841931的博客
07-25 115
SQL注入(英语SQLinjection),是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令比如我们将该SQL语句打印出来看看此时的SQL语句中的password部分变成了等于空返回false,但因为增加了or的恒等式1=1故语句整体返回为true。...
通过PreparedStatement预防SQL注入
jakelihua
11-25 590
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2513
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
JDBCTM 指南:入门6-PreparedStatement
01-08
6 – PreparedStatement本概述是从《JDBCTM Database Access from JavaTM: A Tutorial and Annotated Reference 》这本书中摘引来的。...PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句
如何防止SQL注入.pdf
04-02
通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,确保它符合预期的格式。例如,如果你期待一个...
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 346
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 422
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1445
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 551
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 614
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 762
consul官网地址。
MSE实现全链路灰度实践
云计算、数据库、大数据、深度学习、NLP、Python
04-24 227
待更新。
迭代器模式
LuckFairyLuckBaby的博客
04-23 535
迭代器模式(Iterator),提供一种方法顺序访问一个聚合对象中各个元素,而又不暴露该对象的内部表示。
埃氏筛选-判断素数
qq_45706306的博客
04-27 42
筛选:从最小的质数2开始,将它的所有倍数标记为合数(非质数),即把 isshushu 数组中对应索引位置的值设置为 true。计数:在筛选过程中,每当遇到一个未被标记为合数的数(即 isshushu 数组中对应值为 false 的数),则它就是一个质数,增加质数计数器 count 的值。返回结果:当所有小于 n 的数都经过筛选后,返回质数计数器 count 的值,即小于 n 的质数数量。通过这种方式,代码能够高效地找出并计算给定范围内质数的数量,避免了逐一检查每个数是否为质数的低效方法。
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值