JDBC学习(一)--------SQL注入

最新推荐文章于 2024-04-20 11:13:56 发布
最新推荐文章于 2024-04-20 11:13:56 发布
阅读量154 收藏
点赞数
分类专栏: Java基础 文章标签: sql注入 JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz_chen_zhuo/article/details/98475246
版权

一、JDBC的开发步骤
1.注册驱动
2.获得连接
3.获得语句执行者
4.执行sql语句
5.处理结果

二、导入驱动jar包
1.创建lib目录,用于存放项目所需要的jar包。选中jar包,复制粘贴即可。
2.选择lib目录下的jar包,右键执行build path—Add to Build Path。

三、API详解,注册驱动
代码:Class.forName(“com.mysql.jdbc.Driver”);
1.JDBC规范定义驱动接口:java.sql.Driver;
MySql驱动包提供了实现类:com.mysql.jdbc.Driver。

注意:只有在此时用的是jdbc下的包,以后导入包都选择sql包。

测试sql注入问题:
在进行sql语句注入时,如果存在sql语句的拼接,则不能够使用Statement stmt=conn.createStatement();此时会产生一个漏洞,用户可以通过输入特殊字符组成的字符串直接访问到数据库中。如login犯法。使用PreparedStatement方法则不会产生这种问题,因为PreparedStatement会对用户输入的内容进行预编译处理。
有很多中方法能够对应sql拼接产生的漏洞,这里的方法是现在接触中最为简单。
数据库中username=‘zs’,upassword=‘zs’。
当使用login方法时,由字符拼接的方式,此时用户输入zs’ or 'zs,仍然能够成功的在数据共查找到。
但是使用login1方法,就不能够通过查找。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import org.junit.Test;

public class TestLogin {
	@Test
	public void testLogin(){
		try {
			login1("zs' or 'zs","zs");
		} catch (Exception e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} 
	}
//	用户登录方法
	private void login(String username,String password) throws ClassNotFoundException, SQLException {
//		1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
//		2.获取连接
		Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/chatroom","root","root");
//		3.创建执行sql语句的对象
		Statement stmt=conn.createStatement();
//		4.书写一个sql语句
		String sql="select * from tbl_user where "+"uname='"+username+"' and upassword='"+password+"'";
//		5.执行sql语句
		ResultSet rs= stmt.executeQuery(sql);
//		6.对结果集进行处理
		if(rs.next()){
			System.out.println("恭喜您:"+username+"!登陆成功");
			System.out.println(sql);
		}else{
			System.out.println("账号或输入密码错误");
		}
		if(rs!=null){
			rs.close();
		}
		if(stmt!=null){
			stmt.close();
		}
		if(conn!=null){
			conn.close();
		}
	}
	public void login1(String username,String password) throws ClassNotFoundException, SQLException{
//		1.注册驱动
		Class.forName("com.mysql.jdbc.Driver");
//		2.获取连接
		Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/chatroom","root","root");
//		3.编写sql语句
		String sql ="select * from tbl_user where uname=? and upassword=?";
//		4.创建预处理对象
		PreparedStatement pr= conn.prepareStatement(sql);
//		5.设置参数(给占位符)
		pr.setString(1,username);
		pr.setString(2, password);
//		6.执行查询操作
		ResultSet rs=pr.executeQuery();
		if(rs.next()){
			System.out.println("恭喜您:"+username+"!登陆成功");
			System.out.println(sql);
		}else{
			System.out.println("账号或输入密码错误");
		}
		if(rs!=null){
			rs.close();
		}
		if(pr!=null){
			pr.close();
		}
		if(conn!=null){
			conn.close();
		}
	}
	
}
诗与猿方
关注
专栏目录
【MyBatis】 MyBatis与MyBatis-Plus的区别
四季轮换叶,一路招摇胜
09-12 5万+
mybatis-plus 是 mybatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。
sqljdbc4.0-4.2.zip
03-04
同时,推荐使用预编译的`PreparedStatement`来防止SQL注入攻击。 10. 兼容性:SQLJDBC驱动适用于各种Java应用,包括Java Web应用,例如在Tomcat、Jetty等应用服务器上运行的Servlet和JSP应用。 总的来说,SQLJDBC ...
JDBC学习SQL注入
一点莹的博客
02-04 226
1.数据库驱动: 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。 应用程序----->Mysql驱动-------->Mysql数据库 2.JDBC的介绍: SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范由Java语言编写(
jdbc基本流程(注入数据源)
内沐的博客
10-22 493
1,在实现类中注入数据源 该数据源为在spring 配置文件中配置好的数据源 e,g: //注入数据源 @Resource private DataSource dataSource;2,jdbc基本流程 1,得到数据源 2,得到Connection 3,得到PreparedStatement
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 1083
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
JavaWeb-JDBC
qq_56999608的博客
03-05 1297
学完了Java SE部分的内容后,继续学习Java EE。学习JavaWeb以及一些主流的开发框架如SSM,SpringBoot,SpringClound等。首先来学习JDBC,一个与数据库连接相关的API。
sharding-jdbc SQL支持详细列表
半生苦涩半生酸的博客
10-28 7637
SQL支持详细列表 由于SQL语法灵活复杂,分布式数据库和单机数据库的查询场景又不完全相同,难免有和单机数据库不兼容的SQL出现。 本文详细罗列出已明确可支持的SQL种类以及已明确不支持的SQL种类,尽量让使用者避免踩坑。 其中必然有未涉及到的SQL欢迎补充,未支持的SQL也尽量会在未来的版本中支持。 全局不支持项 动态表 未配置逻辑表和真实表对应关系的真实表,称为
JDBC-防止SQL注入
m0_63144452的博客
10-25 1056
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
【死磕Sharding-jdbc】---数据源
chenssy 的技术博客
06-27 7515
链接:http://cmsblogs.com/?p=2516 注:为了让更多人看到,征求飞哥意见,将此系列博文标注为原创,飞哥简书:https://www.jianshu.com/u/6779ec81d3b7 以com.dangdang.ddframe.rdb.sharding.example.jdbc.Main剖析分库分表配置与实现,其部分源码如下: public fi...
SpringBoot集成Sharding-jdbc(水平分表)
计算机小白的奋起
04-20 2834
SpringBoot整合Sharding-JDBC实现水平分表
java-sec-code学习
公众号shadow sock7
03-04 4509
配合静态代码审计工具,学习一下。 git clone https://github.com/JoyChou93/java-sec-code cd java-sec-code # 生成jar包 mvn clean package 修改配置文件src/main/resources/application.properties:: 将数据库名,账号密码修改为mysql中有的。 参考:mysql最常用最......
Spring Boot 集成 Sharding-JDBC + Mybatis-Plus 实现分库分表功能
09-07
3. 编写SQL语句:由于Sharding-JDBC会自动处理分片逻辑,开发者可以编写常规的SQL语句,无需考虑分片细节。 4. 调整应用程序:在Service层和DAO层中,需要调整数据操作方法,确保它们能够正确地与分片后的数据库和表...
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以防止SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
JAVA连接sqlserver2008R2驱动sqljdbc4-3.0.jar
12-24
8. **安全性**:使用预编译的PreparedStatement可以防止SQL注入攻击,同时,JDBC驱动还支持SSL加密以保护数据传输的安全。 9. **异常处理**:在编写Java数据库应用时,必须捕获并适当地处理`SQLException`,以确保...
JDBC-example-in-Java:JDBC应用程序
06-20
PreparedStatement对于防止SQL注入更安全,也更适合多次执行相同查询的情况。 4. **执行SQL查询**:使用Statement对象的`executeQuery()`或`executeUpdate()`方法来执行SELECT、INSERT、UPDATE或DELETE语句。`...
Alibaba-Dragonwell-Standard-21.0.4.0.4.7-aarch64-linux.tar
11-11
基于OpenJDK开发的开源JDK,支持国内环境加密 解决maven下载不了,提示加解密失败的问题 Alibaba_Dragonwell_Standard_21.0.4.0.4.7_aarch64_linux.tar
【Unity游戏框架】Prodigy Game Framework快速搭建游戏原型
最新发布
11-11
文件名:Prodigy Game Framework_22.6.2 (20 Jun 2022).unitypackage Prodigy Game Framework 是一个强大的 Unity 游戏框架插件,专门为需要快速搭建游戏原型的开发者设计,适用于多种类型的游戏项目。它不仅包含大量核心系统,还提供了一些通用的游戏功能模块,帮助开发者加快游戏开发进度,同时保持代码和架构的灵活性。以下是 Prodigy Game Framework 的主要特点和功能: 1. 模块化游戏框架 Prodigy Game Framework 提供了模块化的游戏架构,允许开发者根据需求添加或移除不同功能模块。每个模块都是独立的,便于管理和扩展。 框架经过精心设计,以适应各种类型的游戏项目,从单人冒险到多人联网游戏都能轻松实现。 2. 场景管理 插件带有场景管理工具,可以轻松管理场景加载、卸载以及跨场景的数据传递,保证游戏的流畅切换。 支持场景内存优化、异步加载和场景过渡效果,有助于在不同平台上实现最佳性能。 3. 任务与成就系统 内置的任务系统可以让开发者为游戏添加多样化的任务,比如主线任务..
com.harmonyos4.exception.LoadBalancerFailureException.md
11-11
鸿蒙开发中碰到的报错,问题已解决,写个文档记录一下这个问题及解决方案
Eclipse代码注释模版-codetemplates.xml
11-11
Eclipse代码注释模版-codetemplates
K-DB 11 JDBC 开发指南
10. **安全性和最佳实践**:涵盖安全方面的建议,如避免SQL注入,以及使用预编译语句、参数化查询等最佳实践。 请注意,由于具体文档内容未完全给出,以上内容是基于一般JDBC开发指南的常规结构和内容推测的。实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值