SQL注入攻击与PreparedStatement

最新推荐文章于 2024-04-18 16:54:47 发布
最新推荐文章于 2024-04-18 16:54:47 发布
阅读量328 收藏
点赞数
分类专栏: java 文章标签: PreparedStatement JDBC SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eve8888888/article/details/85492620
版权

这几天在学习JDBC,一开始用的是Statement,后来一位老师给我们讲课时用的是PreparedStatement,一开始只是觉得PreparedStatement方便了很多,不用反复拼接SQL语句,只需要用?占位就可以了。无聊时百度了一下这两个的区别,才发现PreparedStatement要比Statement强大很多,而且在程序中要使用PreparedStatement。

先来说说为什么要使用PreparedStatement,一个很大的原因就是PreparedStatement可以防止SQL注入攻击。

通过代码来说说什么是SQL注入攻击

连接数据库什么的代码就不贴了,这里写了一个方法通过传入的用户名和密码来查询用户的所有信息,用的是Statement

    public static void find(String user,String password) throws SQLException {
        try {
            statement = getConn().createStatement();
            rs = statement
                    .executeQuery("select * from test where name = '"+user+"'and password='"+password+"'");
            while (rs.next()){
                System.out.print(rs.getInt(1)
                        +", "+rs.getString(2)
                        +", "+rs.getString(3));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            closeResource(connection,statement,rs);
        }
    }

表中数据,表名为test

在主方法里调用一下这个find方法,传入用户名和密码

    public static void main(String[] args) throws SQLException {
        find("A","123");
    }

查询结果

没什么问题,现在重点来了,当我传入的是一些其他的东西呢?

find("A","' or 1 = '1");

当我给密码传入' or 1 = '1,查询结果为

可以看到所有的数据都查询出来了,这是因为传入的这个密码使SQL语句变成了

执行where 1 = ‘1’ 能查询到表中所有数据,相当于执行了select * from test,这就是一种SQL注入攻击,只要知道是什么原理,理解起来就很简单,所以我们也可以给用户名传入'or 1 = 1 #,也可以查询出所有数据,因为在MySql中#后面的是注释

程序根本不会执行# 后面的语句,所以这句话还是执行的是select * from test。

甚至我们可以传入一个';drop table table_name;这样其他人知道名字的表就能被删除。

现在我们不使用Statement,改用PreparedStatement

修改一下代码

    public static void find(String user,String password) throws SQLException {
        try {
            preparedStatementstatement = getConn()
                    .prepareStatement("select * from test where name =? and password = ?");
            preparedStatementstatement.setObject(1,user);
            preparedStatementstatement.setObject(2,password);
            rs = preparedStatementstatement.executeQuery();
            while (rs.next()){
                System.out.print(rs.getInt(1)
                        +", "+rs.getString(2)
                        +", "+rs.getString(3));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            closeResource(connection,preparedStatementstatement,rs);
        }
    }

当我们传入' or 1 = '1或者'or 1 = 1 #时会发现什么也查询不到了,原因在于PreparedStatement表示预编译的 SQL 语句的对象,SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。PreparedStatement使用了?作为占位符,通过预编译,SQL语句的结构就已经存储好了,无法通过传入的参数来改变这条SQL语句的结构,说白了就是像上面的SQL语句,PreparedStatement对象已经知道这条SQL语句有一个where条件并且需要一个name值和一个password值,这个结构就已经固定了,所以我们无法通过传入的参数来改变SQL语句结构。

不仅如此,使用PreparedStatement要比使用Statement的效率高,同样的原因PreparedStatement是预编译的,即使执行1000次查询,只需要改变占位符的值就可以了,不会再编译整条SQL语句,而使用Statement,每执行一条SQL语句都会编译,这样效率明显不如PreparedStatement。

MatriXay1073汉化
04-12
明鉴WEB应用弱点扫描器(简称:MatriXay 1073)是安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成,该产品1.0版本于2006年8月世界安全大会BlackHat和Def-Con上首次发布,2.0版本于2007年12月 发布,并在08奥运WEB安全保障中发挥了重要的作用。与市场上同类产品的不同之处在于:不仅具有非凡的扫描功能,还提供了强大的渗透测试、网页木马检测功能。
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2961
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8480
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
MySQL如何对SQL做prepare预处理(解决IN查询SQL预处理仅能查询出一条记录的问题)
健身变秃,coding变强
07-23 2771
1、SQL预处理prepare的由来? 2、SQL预处理prepare如何使用? 3、解决SQL预处理prepare对in查询无效的问题
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 957
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
JSP 防范SQL注入攻击分析
10-30
在网络安全领域中,SQL注入攻击是一种常见的攻击手段,其主要目的是利用网站应用程序的输入漏洞,执行恶意的SQL命令,进而控制数据库服务器。在本文中,作者以自己的亲身体验,详细地分析了SQL注入攻击的原理和防范...
SQL注入攻击与防护措施研究
12-24
### SQL注入攻击与防护措施研究 #### 一、引言 SQL注入(SQL Injection)是一种常见的Web应用程序安全漏洞,攻击者可以通过此漏洞在输入的数据字符串中嵌入恶意SQL指令,这些指令随后会在数据库服务器上被执行,...
扫描sql注入与xss攻击的牛b工具
11-02
在网络安全领域,SQL注入和XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
mybatis防止SQL注入的方法实例详解
08-27
使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 Inject恶意的 SQL 语句。 存储过程 存储过程是防止 SQL 注入的第二种方式。存储过程是一组完成特定功能的 SQL 语句集,经编译后存储在...
SQL注入攻击.pdf
09-19
SQL注入攻击是一种常见的网络安全威胁,主要针对使用SQL(结构化查询语言)的数据库系统。攻击者通过在输入字段中插入恶意的SQL代码,试图绕过应用程序的安全控制,获取未经授权的数据访问、修改或删除数据,甚至...
PreparedStatement 输出SQL语句
kingwin28的博客
02-13 1408
PreparedStatement 输出SQL语句
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 5605
jdbc学习
JDBC学习笔记(4)——PreparedStatement的使用
weixin_34232363的博客
05-04 856
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatementStatement的子接口,我们在执行查询或者更新数据表数据的时候,拼SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
java攻城狮之路--复习JDBC(PrepareStatement)
weixin_33853794的博客
08-24 187
PreparedStatement: 1、可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象 2、PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 2、PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示, ...
SQL注入问题的解决(PreparedStatement
最新发布
2401_83641314的博客
04-18 675
分享一套我整理的面试干货,这份文档结合了我多年的面试官经验,站在面试官的角度来告诉你,面试官提的那些问题他最想听到你给他的回答是什么,分享出来帮助那些对前途感到迷茫的朋友。
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4637
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以动态参数化的查询。
Java中StatementSQL注入问题
m0_63217468的博客
08-26 940
Java中StatementSQL注入问题
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1297
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以在这里和大家一起学习
SQL注入以及PreparedStatement对象详解
weixin_46377946的博客
03-31 247
什么是SQL注入sql存在漏洞,会被攻击导致数据泄露。SQL会被拼接百度百科详解SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此实现数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。代码实现。
SQL注入攻击详解与防范策略
以下是关于SQL注入攻击的种类及其相应的防范手段的详细解释。 1. **基本的SQL注入攻击** 基本的注入攻击通常涉及在查询中插入额外的SQL代码,以绕过身份验证或获取未经授权的数据。例如,当应用使用以下语句: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值