jdbc java数据库连接 8)防止sql注入

最新推荐文章于 2023-10-10 18:56:45 发布
最新推荐文章于 2023-10-10 18:56:45 发布
阅读量144 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/LZL-student/p/6017377.html
版权

回顾下之前jdbc的开发步骤:

  1:建项目,引入数据库驱动包

  2:加载驱动

    Class.forName(..);

  3:获取连接对象

  4:创建执行sql语句的stmt对象;  sql

  5:执行sql

    a) 更新    delete/insert/update

      !:executeUpdate();       

    b) 查询    select  

      !:executeQuery();

  6:关闭/异常

之前有说过,Statement接口和PreparedStatement接口的区别,其中的一个就是:

  PreparedStatement接口能够防止sql注入

那么,什么是sql注入呢?

  其实sql注入就是用户输入的恶意密码,能够绕过你的用户名和密码登陆。

 

例子:

 

  1:首先创建个数据库

1 -- 创建数据库
2 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i
3 -- 创建表
4 USE jdbc_demo;
5 CREATE TABLE admin(
6     id INT PRIMARY KEY AUTO_INCREMENT,
7     userName VARCHAR(20),
8     pwd VARCHAR(20)
9 )

  

  2:使用Statement接口,没有防止sql注入:

 1 /**
 2  * 模拟用户登陆数据库,演示注入
 3  * 
 4  * @author LLZ
 5  */
 6 public class Two_StatementDemo {
 7 
 8     /**
 9      * 1:sql注入 Statement
10      */
11 
12     private Connection conn;
13     private Statement stsm;
14     private ResultSet rs;
15     private PreparedStatement pstsm;
16 
17     @Test
18     public void Test1() {
19 
20         String user = "tom";
21         // String password = "123";
22         String password = " ' or 1=1 -- /**/ "; // sql注入,这个也可以登陆成功
23 
24         try {
25             // 1.1:加载驱动
26             conn = Jdbcutil.getConnection();
27 
28             // 1.3:创建Statement对象
29             stsm = conn.createStatement();
30 
31             // 1.4:准备sql语句
32             String sql = "select * from jdbc where user='" + user
33                     + "'  and password='" + password + "' ";
34 
35             // 1.5:执行sql
36             rs = stsm.executeQuery(sql);
37 
38             // 1.6:打印返回的结果
39             if (rs.next()) {
40                 System.out.println(rs.getInt("id"));
41             }
42         } catch (Exception e) {
43             e.printStackTrace();
44 
45         } finally {
46             // 1.7:关闭连接
47             try {
48                 rs.close();
49                 stsm.close();
50                 conn.close();
51             } catch (Exception e) {
52 
53                 e.printStackTrace();
54             }
55         }
56     }

 

  3:使用PreparedStatement接口,防止sql注入:

其原因就是由于该接口具有缓存区,需要先执行预编译远,等传入参数才正式执行sql语言

 1 /**
 2      * 二:用PreparedStatement防止sql注入
 3      */
 4     @Test
 5     public void Test2() {
 6 
 7         String user = "tom";
 8         String password = "123";
 9         // String password = " ' or 1=1 -- /**/ "; // sql注入,这个在这里就无法登陆
10         // 准备sql预编译语句
11         String sql = "select * from jdbc where user=? and password=?";
12 
13         try {
14             // 2.1:创建连接
15             conn = Jdbcutil.getConnection();
16 
17             // 2.2:创建PerparedStatement对象(执行预编译)
18             pstsm = conn.prepareStatement(sql);
19 
20             // 2.3:准备参数
21             pstsm.setString(1, user);
22             pstsm.setString(2, password);
23 
24             // 2.4:发送参数,执行sql
25             ResultSet rs = pstsm.executeQuery();
26             if (rs.next()) {
27                 System.out.println(rs.getInt("id"));
28             }
29         } catch (Exception e) {
30             e.printStackTrace();
31         } finally {
32             // 2.5:关闭连接
33             Jdbcutil.close(conn, pstsm, rs);
34         }
35 
36     }

 

转载于:https://www.cnblogs.com/LZL-student/p/6017377.html

dielunyuan5091
关注
JDBC——Java连接数据库
yzl1293346757的博客
08-19 1732
java连接数据库基础,JDBC相关知识点
Java|数据库】使用JDBC连接数据库 (超详细)
热门推荐
Xav Pun的博客
12-08 3万+
目录【Java|数据库】使用JDBC连接数据库 (超详细)1. 基础概念架构规范2. 连接数据库准备工作导入jar包加载驱动建立连接执行语句释放连接3. 连接数据库实例在程序里配置连接信息在配置文件里配置连接信息4. 增删改查查询增加、修改、删除Statement接口PreparedStatement接口ResultSet接口ResultSetMetaData接口参考文章 【Java|数据库】使用JDBC连接数据库 (超详细) 1. 基础 概念 JDBC的全称是Java Database Connecti
sqljdbc_8.2.2.0_chs.zip
06-02
JDBC(Java Database Connectivity, Java 数 据 库 连 接)是 一 种可用于执行 SQL 语句的 Java API(Application Programming Interface, 应用程序设计接口)。它由一些 Java 语言编写的类和接口组成。JDBC数据库应用开发人员、数据库前台开发人员提供了一种标准的应用程序设计接口, 使开发人员可以用纯 Java 语言编写完整的数据库应用程序。JDBC 通过调用其接口提供的方法, 提供了 Java 应用程序与各种数据库服务器之间的连接服务, 它支持 ANSI SQL- 92 标准, 实现了从 Java 程序内调用标准的 SQL 命令对数据库进行查询、插入、删除和更新等操作, 并确保数据事务的正常进行。JDBC API 主要用来连接数据库并通过 SQL 语句操作数据库。它可以执行一般的 SQL 语句、动态 SQL 语句及带 IN 和 OUT参数的存储过程。通过使用 JDBC 简化了开发数据库应用的复杂度, 加快了开发速度。开发人员可以很方便地将 SQL 语句传送给几乎任何一种数据库。而且 JDBC 支持所有的操作系统, 使得 Java 应用程序不再需要为每个应用程序编写额外的驱动。2.JDBC 的体系结构JDBC 是实现 Java 应用程序与各种不同数据库对话的一种机制。JDBC 由两部分与数据库独立的 API 组成, 一部分是面向程序开发人员的 JDBC API, 另一部分是面向底层的 JDBC Driv-er API。JDBC 提供了一个通用的 JDBC Driver Manger, 用来管理各种数据库软件商提供的 JDBC 驱动程序, 从而访问其数据库。此外, 对没有提供相应 JDBC 驱动程序的数据库系统, 开发了特殊的驱动程序: JDBC- ODBC 桥, 该驱动程序支持 JDBC 通过现有的 ODBC 驱动程序访问其数据库系统。JDBC 的基本层次结构由 Java 程序、JDBC 驱动程序管理器、驱动程序和数据库四部分组成
jdbcsql注入
weixin_30551963的博客
08-21 52
package cn.code.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
java jdbc连接数据库以及sql注入演示与防止
lmsnice的博客
09-15 461
jdbc连接数据库 一、无法防止sql注入 package com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; import com.sun.java_cup.internal.runtime.Symb
java连接数据库操作2--防止sql注入
l-jobs的专栏
12-01 358
sql注入 概念 所谓sql注入,即用户输入的字符串和我们的sql结合产生预判之外的结果,比如下面这段判断用户名密码是否正确的代码 String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'";rs = stmt.executeQ
在编写Java代码时,我们如何改进连接数据库sql拼串语句来预防SQL注入
林大侠
08-04 468
参照-科普中国▪科学百科-sql注入定义 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 ☛应用场景:现...
sql.rar_java数据库连接_java连接_java连接数据库_sql数据库连接
09-19
首先,Java数据库连接JDBC)是Java API,它提供了一组接口和类,使得Java程序能够与各种类型的数据库进行通信。JDBC允许开发者执行SQL语句,管理事务,处理结果集等。使用JDBC时,我们需要导入`java.sql`和`javax....
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
jdbc.rar_java jdbc_java 数据库 连接_jdbc_jdbc-odbc_数据 插入 删除
09-23
`PreparedStatement`对象可以防止SQL注入,并提高性能,因为它预编译SQL语句。 2. **数据删除**: ```java String sql = "DELETE FROM users WHERE id = ?"; pstmt = conn.prepareStatement(sql); pstmt.set...
Java项目防止SQL注入的四种方案
最新发布
学IT,找陈寒
10-10 1万+
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
java sql where and_java – JDBI如何在防止SQL注入的同时动态创建WHERE子句?
weixin_39684235的博客
02-16 155
Inspired by Jean-Bernard我想出了这个:public class WhereClause {public HashMap queryValues; // [, ]public String preparedString; // "WHERE foo=:foo AND bar=:baz"}哪个是通过自定义Binder BindWhereClause绑定的:@BindingAnn...
JAVA-SQL注入攻击
dxm809的博客
12-27 750
CREATE TABLE users(     id INT PRIMARY KEY AUTO_INCREMENT,     username VARCHAR(100),     PASSWORD VARCHAR(100) ); INSERT INTO users(username,PASSWORD) VALUES('a','1'),('b','2'); SELECT * FROM user...
JDBC及防sql注入攻击
We_chuan的博客
12-25 284
哪有什么一夜成名,都是百炼成钢 JDBC JDBCJava DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 简单地说,JDBC 可做三件事:与...
关于jdbc的介绍以及PreparedStatement和Statement牵涉的sql注入问题解决
BestQiang的博客
03-08 1万+
1 什么是JDBC JDBCJava DataBase Connectivity)就是Java数据库连接,说白了就是用Java语言来操作数据库。原来我们操作数据库是在控制台使用SQL语句来操作数据库JDBC是用Java语言向数据库发送SQL语句。 2 JDBC原理 早期SUN公司的天才们想编写一套可以连接天下所有数据库的API,但是当他们刚刚开始时就发现这是不可完成的任务,因为各个厂...
JDBC连接数据库
喜欢前端的后端 MelodyJerry
12-03 1855
简单理解JDBCJava DataBase Connectivity)是 Java数据库 之前的一座桥。 实则,JDBC 是用于Java编程语言和数据库之间的标准Java API。 三者之间的关系就如下图 ???? JDBC介绍官方文档:https://www.oracle.com/technetwork/java/javase/jdbc/index.htmlJava 原...
mysql8.x 新版本jdbc连接方式
Less Is More
11-12 2353
需要使用高版本的JDBC驱动,“mysql-connector-java 8”以上版本。 1. JDBC driver 由“com.mysql.jdbc.Driver”改为“com.mysql.cj.jdbc.Driver”。 2. JDBC url为: jdbc:mysql://localhost/rs_report?useSSL=true&useUnicode=true&characterEncoding=UTF8&serverTimezone=UTC 3. ..
如何在Java应用程序中预防SQL注入
allway2的博客
07-22 1621
这背后的主要原因是预准备语句的本质数据库服务器使用它们来缓存拉取结果集所需的查询计划,这对于任何可能的值通常都是相同的。在本文中,我们介绍了Java应用程序中的SQL注入漏洞——对任何依赖数据进行业务的组织来说都是一个非常严重的威胁——以及如何使用简单的技术来防止它们。主要思想是,即使我们无法在代码中找到所有可能的漏洞——这是处理遗留系统时的常见情况——我们至少应该尝试限制攻击可能造成的损害。如果在生成此代码的过程中,我们使用未经适当清理的不受信任的数据,我们就会为黑客利用敞开大门。...
BUG 登入功能 用户名为中文登入不成功
qq_45858803的博客
01-26 696
文章目录class UserLogin异常体提示显示结果错误原因纠正方法class UserLogin实现结果 class UserLogin import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class UserLogin { public static void main(String[] args) { //初始化一个界面
Java JDBC:连接数据库与防SQL注入教程
本PPT教程深入浅出地讲解了Java语言通过JDBC连接数据库的关键技能,旨在帮助学习者理解JDBC的工作原理并掌握实际操作。首先,课程从JDBC的基本概念出发,解释了什么是JDBC以及其在Java中的作用,强调了数据库驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值