JAVA-使用PrepareStatement避免SQL注入

最新推荐文章于 2023-01-31 20:57:38 发布
最新推荐文章于 2023-01-31 20:57:38 发布
阅读量424 收藏
点赞数
分类专栏: JAVA

package com.dxm;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import com.sun.java_cup.internal.runtime.Scanner;

public class JDBCDemo2 {


    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        // TODO Auto-generated method stub
        Class.forName("com.mysql.jdbc.Driver");
        
        String url = "jdbc:mysql://localhost:3306/mybase";
        String user="root";
        String password="1234";
        Connection connection = DriverManager.getConnection(url, user, password);
        
        
        java.util.Scanner scanner = new java.util.Scanner(System.in);
        System.out.println("Please Input username");
        String name = scanner.next(); //aaa
        System.out.println("Please Input password");
        String pass = scanner.next();//bbb'OR'1=1 
        
        
        
        String sql="SELECT * FROM users WHERE username=? AND PASSWORD=?";
        PreparedStatement prepareStatement = connection.prepareStatement(sql);
        prepareStatement.setObject(1, name);
        prepareStatement.setObject(2, pass);
        
        ResultSet resultSet = prepareStatement.executeQuery();
        
        System.out.println("username   password");
        while (resultSet.next()) {
            System.out.println(resultSet.getString("username")+"    "+resultSet.getString("password"));
        }

        resultSet.close();
        prepareStatement.close();
        connection.close();
    }

}
 

dxm809
关注
专栏目录
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
此外,PrepareStatement还能够防止SQL注入攻击,因为它允许我们使用占位符(?)来代替直接拼接字符串。 在描述中提到的基本查询和更新场景中,我们可以使用PreparedStatement的`setXXX()`方法设置参数,其中XXX代表...
java JDBC接口之Statement和PrepareStatement(3)
你的世界我做主
08-27 618
一. 接口说明 1.Statement和PrepareStatement都是执行sql 的接口 2.PrepareStatement可以预防sql注入,实现原理是将SQL特殊的符号加反斜杠,使其转换为普通的字符串,而不是sql命令,就是我们常说的预编译过程,而Statement的没有这样的功能的 2.接口说明和使用实列 1.获取对象和执行更新操作sql /** * @author zeng */ public class Main { private static final Str
深究 PrepareStatement
JiuQianWan的博客
07-16 1338
本篇文章基于 MySQL Connector/J 5.1.40。上篇文章《写个任务,翻车了 -- 记一次内存溢出排查》说到, JDBC42PreparedStatement 对象导致了内存溢出,我们今天就带着上篇里的疑问,好好研究一下 Statement,以免日后再犯低级的错误。先来回顾一下事故现场|每个对象 23K,对象里到底存了什么,这么大?先看一下JDBC42P......
java PreparedStatement需要关闭,不然会内存溢出
急速虫子
03-28 9487
“第三方的数据库连接池,使用的时候,获取到Connection之后,使用完成,调用的关闭方法(close()) ,并没有将Connection关闭,只是放回到连接池中,如果调用的这个方法,而没有手动关闭PreparedStatement等,则这个PreparedStatement并没有关闭,这样会使得开发的程序内存急速增长,java的内存回收机制可能跟不上速度,最终造成Out of memory
JDBC用PrepareStatement解决SQL注入
最新发布
qq_46534049的博客
01-31 2402
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
Statement 和 PrepareStatement执行SQL
weixin_52629592的博客
05-26 1663
Statement和Preparedment都是用来实现数据库连接的API接口,下面我们对两者的实现方式分别进行介绍 一.Statement 概述 statement用于执行一些简单的静态SQL语句,并返回它所生成的结果对象 接口: public interface Statement extends Wrapper 在默认情况下,同一时间内每个Statement对象只能打开一个ResultSet对象.因此,如果读取一个ResultSet对象与另一个交叉,则这两个对象必须..
mysql-connector-java-8.0.16
04-13
`PreparedStatement`允许预编译SQL语句,提高性能并防止SQL注入攻击。例如: ```java String sql = "INSERT INTO users (name, email) VALUES (?, ?)"; PreparedStatement pstmt = conn.prepareStatement(sql); ...
有效防止SQL注入的5种方法总结
09-09
遵循OWASP(Open Web Application Security Project)提供的指南,定期更新软件,避免使用已知有漏洞的库和组件,保持代码审计,及时修复任何发现的SQL注入漏洞。 通过上述方法,可以显著提高应用程序的防护能力,...
mybatis防止SQL注入的方法实例详解
08-27
在对应的 Java 文件中,可以使用预编译语句来避免 SQL 注入攻击: ```java public interface UserMapper{ String getNameByUserId(String userId); } ``` 结论 SQL 注入攻击是一种简单的攻击手段,但可以通过...
sql-injection-demo:这是使用Java EE和Oracle数据库进行SQL注入的演示
05-04
本项目"sql-injection-demo"是针对Java EE平台和Oracle数据库设计的一个实战示例,旨在帮助开发者理解SQL注入的原理,并提供防范措施。 首先,我们需要了解SQL注入的基本概念。SQL注入通常发生在应用程序没有充分...
sql预编译preparedStatement.setObject传参不能为null
Natsumis的博客
03-12 1290
Object[] params = null; //1.错误 Object[] params = {};//2.正确 1.通过第一种方式传参会报空指针异常,正确设置参数为空的方式是第二种 for (int i = 0; i < params.length; i++) { //setObject 用于设置占位符的参数 占位符(?)从1开始 但是数组从0开始 //例如 Select * From tableName Where id=? And Name=
java连接sql数据库讲解_JDBC连接数据库及PreparedStatement详解
weixin_31577315的博客
02-27 261
直接上代码packagejdbc;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;publicclassMyTest{publicstaticvoidmain(Stringargs[]){Conn...
JDBC笔记3(基础—预编译语句(PreparedStatement))
wangshiqi666的博客
10-15 1690
使用预编译PreparedStatement语句来执行SQL语句。
prepareStatement使用
weixin_44720982的博客
05-06 4662
使用prepareStatement完成数据库增删改查功能
关于preparestatement的详解
lqy103267的博客
09-05 3557
0 关于preparestatement的详解5 Java代码   /**   * 将用户信息插入数据库   * @param uv   * @return   */   public int insertUser(UserVo uv){       int userId = 0;       initDb(); **初始化连接数据库的方法 
大家来说一说关于jdbc的那些事情,关于Connection,Statement和ResultSet的关闭顺序
热门推荐
u012916287的专栏
12-23 1万+
以下只是个人观点,毕竟楼主只是大三学生一枚。还有很多需要学习的地方。 最近在做一个jsp+servlet的程序。 用的是Oracle数据库,然后安装的时候很多东西都是默认值。 用servlet,简单点的,当然是用jdbc操作数据库咯。 然后就出现了以下的事情,oracle经常会报错, ORA-12516: TNS: 监听程序找不到符合协议堆栈要求的可用处理程 因为错误是英文的,我也就没仔
一定要记得把PreparedStatement关闭
lysamper的专栏
09-18 8421
          今天系统又上了一个版本,但是某些用户的页面打不开,看后台日志才发现是数据库报游标错误。          若是通过写纯sql语句查询或更新数据库数据,做完操作后请一定要将PreparedStatement pre对象关闭即pre.close();,若是查询的话请将ResultSet rs对象关闭或置为null,若不这样如果数据量大的时候就会报数据库游标数过大错误,从而查询不
Java PreparedStatementStatement的区别与SQL注入防范
"Java编程语言中的PreparedStatementStatement是两种不同的SQL语句执行方式,它们在处理用户输入数据和防止SQL注入方面存在显著差异。本文将深入探讨这两种接口的特性和应用场景,以及为何PreparedStatement更适合...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值