使用preparedStatement防止SQL注入

最新推荐文章于 2023-09-15 11:08:19 发布
最新推荐文章于 2023-09-15 11:08:19 发布
阅读量360 收藏 1
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drankness/article/details/117250693
版权

数据库 java mysql

先了解什么是SQL注入

在使用statement拼接字符串的时候,有一些SQL的特殊关键字参与字符串的拼接,这就会造成安全性的问题!
例如:sql = "select * from user where username = ’ "+ username + " 'and password = ’ " + password + " ’ ";
上面的这样一条SQL语句,在向里面传递参数时,如果登录者登录下面这样一套用户密码:

用户名:rong(随便写)
密码:   a' or 'a' = 'a

依然可以实现用户的登录,而这种密码称为SQL注入万能码,类似的密码还有很多,只需要遵从一定的格式就可以实现登录,绕开SQL语句的验证.
那为什么会这样呢?
当我们这样登录以后:

select * from user where username = rong and password = a or a =a ;
sql 语句居然变成了上面这样一条语句,没错,我们给where后面的布尔值增添了一个条件*(a = a )这样的话where后面的值就发生了变化:

username = rong   ---->false
password = a         ----->false 
a = a                      ----- true
而最终结果就是:**false   and   false  or  true  ------------>  true!!!!**

所以我们绕开了密码的检测,这个时候就可以看出,SQL注入万能码为什么不是唯一的,它的原理就是改变了我们的SQL语句结构,所以只要符合这种结构,就可以称为万能码;
注:SQL注入输入恶意攻击服务器行为,可以去靶场练习,不可以随便攻击其他网站,

怎么使用preparedStatement防止SQL注入

preparedStatement对象可以预编译SQL语句,参数使用?作为占位符
preparedStatement是Statement的一个子类!通过占位符的使用也就强行限制住了SQL语句传参时的个数,也就不会被拼接字符串之后or恒为true
使用步骤:
1.导入驱动jar包 mysql-connector - java - 5.1.37-bin.jar
2.注册驱动
3.获取数据库连接的对象:Connection
4.定义SQL语句

	*  sql语句的参数使用?占位符,例如:
	* select * from user where username = ? and password = ?;

5.获取执行SQL语句的对象PerparedStatement(创建的时候传递预编译SQL语句)

	*PerparedStatement Connection.prepareStatement(String SQL)

6.给?赋值

	*setXxx(第几个站位参数位置,参数内容)

7.执行PreparedStatement.executeQuery()方法(不传参数时执行子类方法,传递参数时执行父类方法),接收返回结果集ResultSet
8.处理结果集
9.关闭资源
注:由此可以看出使用preparedStatement对象更符合JDBC的需求,更安全,效率更高

哔哩哔哩 - ( ゜- ゜)つロ 乾杯
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
在JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5389
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
mybatis防止SQL注入的方法实例详解
08-27
例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以使用预编译语句来避免 SQL 注入攻击: ```java public ...
Oracle 使用PreparedStatement防止SQL注入
每天进步一点点 时间会让你成为巨人
01-05 9408
一条效率差的sql语句,足以毁掉整个应用. Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用
通过PreparedStatement预防SQL注入
jakelihua
11-25 618
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学就好。..
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5889
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC中通常使用PreparedStatement来代替Statement来处理sql语句,如 String
使用PreparedStatement防止SQL注入
robbinBlog
08-16 428
使用PreparedStatement防止SQL注入  (2012-04-10 16:54:39) 转载▼ 标签:  it 分类: java       Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statem
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql...若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击。
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
如何防止sql注入
12-14
使用PreparedStatement防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不导致SQL语句的...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1562
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
【运维】PreparedStatement防止SQL注入
最新发布
weixin_37543485的博客
09-15 496
参数化查询是编写安全数据库代码的最佳实践之一。
Java:PreparedStatement 防止SQL注入
CSDN_chenyang的博客
06-02 320
Statement和PreparedStatement的区别 联系 PreparedStatement继承自Statement,两者都是接口。 Statement 用于执行静态SQL 语句在执行时,必须指定一个事先准备好的SQL语句。 PreparedStatement 是预编译的SQL语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句可以包含动态的参数 “ ?”,执行时可以为“ ? ”动态设置参数值。 使用PreparedStatement对象执行sql时,sql语句被数
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 294
PreparedStatement PreparedStatement防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 Class.fo
PreparedStatement防止SQL注入小记
lw18751836671的专栏
04-09 1415
突发奇想想知道为什么preparedstatement.setString()这种设置参数为什么能防止SQL注入,它这么设置后打印出来的SQL语句是什么格式的, select count(*) as total from test0 t  where t.name = '"+username+"'"  这种如果输入  ' or 1=1 -- (PS: --空格, 这里必须要有空格才算注释) 这
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1229
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都存入resultSet中,这时候就有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不做特殊处理,只一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就提示登录成功。当我们随便输入时,提示登录失败!
PreparedStatement防止SQL注入,麻烦了,但安全了
自知者明,知人者智
04-14 561
下面以用户登录为案例,对比使用PreparedStatement和不使用PreparedStatement的区别 先介绍下SQL注入SQL注入:在拼接SQL时,有一些特殊关键字参与字符串的拼接,造成安全问题 解决SQL注入的问题:使用Preparedstatement对象来解决 预编译的SQL:参数使用?作为占位符 如:select * from user where username=? ...
转!! PreparedStatement是如何防止SQL注入
weixin_30437337的博客
01-04 116
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC中通常使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
preparedstatement防止sql
03-16
PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免了SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值