java学习笔记:PreparedStatement解决sql注入

最新推荐文章于 2024-05-15 09:16:44 发布
最新推荐文章于 2024-05-15 09:16:44 发布
阅读量791 收藏
点赞数
分类专栏: # Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elizabethxxy/article/details/97653087
版权

java学习笔记:PreparedStatement解决sql注入

 

sql注入
----
sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。

1_原因:
String sql = select * from user where username =' zhangsan' -- ' and password =' ' ;
例如:
恶意注入方式一:输入 username: 随意   password: ' or '1'='1 
select * from user where username ='xxxxx' and password ='xxx' or '1'='1'; 
* and 优先级 执行 高于 or 
恶意注入方式二、在SQL添加 -- 是mysql的注释 用户名框:输入 zhangsan' 空格--空格   password 随意
select * from user where username ='zhangsan' -- ' and password ='' ;
注意:以上的 zhangsan' 空格--空格 中的zhangsan是数据库存在的
 

 

解决sql注入
----
1.PreparedStatement解决sql注入,重要步骤:
PreparedStatement是Statement的子接口,它的实例

最低0.47元/天 解锁文章
黄道婆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配套学习资料:Java开发 - 尚硅谷JDBC学习笔记
03-15
2. **创建Statement或PreparedStatement对象**:Statement用于执行静态SQL,PreparedStatement则支持预编译的SQL,更安全,防止SQL注入。 3. **执行SQL**:调用Statement或PreparedStatement的executeQuery()或...
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8317
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
一篇文章带你搞懂 PreparedStatement 执行 sql 的对象
南淮北安的博客
03-16 463
文章目录一、使用 statement 存在的安全问题二、使用 PreparedStatement 执行sql的对象三、代码实例 一、使用 statement 存在的安全问题 (1)SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 * 输入用户随便,输入密码:a' or 'a' = 'a * select * from user where user...
Java项目防止SQL注入的四种方案
Wewe的博客
05-15 367
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列。
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 873
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2950
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1440
PreparedStatement对象解决sql注入问题
Java很好的学习笔记部署环境
最新发布
06-21
了解如何配置数据库连接池,编写SQL语句,使用PreparedStatement防止SQL注入,以及处理结果集,都是数据库操作的基本技能。 8. **单元测试与Mocking**:JUnit是Java中最常用的单元测试框架,而Mockito则用于模拟...
Java后端学习笔记 — JDBC(一)
12-14
Java后端学习笔记 — JDBC(一)】 在Java后端开发中,JDBC(Java Database Connectivity)扮演着至关重要的角色,它是一个用于连接Java应用程序和数据库的接口标准。本篇笔记将首先介绍JDBC的基本概念,然后讲解...
Java 学习笔记Java学习笔记
01-15
Java是一种广泛使用的面向对象的编程语言,由Sun Microsystems(现为Oracle公司的一部分)于1995年发布。...Java学习笔记涵盖了这些核心知识点,通过深入学习和实践,你可以逐步掌握Java编程,并应用于实际项目开发中。
超值个人java学习笔记
09-29
PreparedStatement是预编译的SQL语句,能防止SQL注入攻击,并提高性能。事务管理是确保数据库操作的一致性,例如通过setAutoCommit(false)开启手动提交,再用commit()或rollback()控制事务的提交和回滚。 【WEB】 ...
SQL注入及PreparedStatement
qq_52722789的博客
01-12 416
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
【很有料】浅析Statement和PreparedStatementSQL注入
daobuxinzi的博客
10-19 456
因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!这就是一个最简单sql注入的例子,输入包含sql命令的内容,欺骗服务器执行破坏数据。,直接删除了数据表,十分的危险。
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2240
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4223
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 829
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatementStatement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
案例:演示PreparedStatement对象的使用
daqi1983的博客
11-28 355
创建Example02类,在该类中使用PreparedStatement对象来插入数据 public class Example02 { public static void main(String[] args) throws SQLException { Connection conn = null; PreparedStatement preStmt = null; try { // 加载数据库驱动 Class.forName("com.mys
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4166
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值