防止SQL攻击之PreparedStatement的使用

最新推荐文章于 2023-09-15 11:08:19 发布
最新推荐文章于 2023-09-15 11:08:19 发布
阅读量358 收藏 1
点赞数
分类专栏: 我的Java已经饥渴难耐了 文章标签: 数据库 sql 漏洞 sql注入 sql攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guozhaohui628/article/details/79100945
版权

1. 导语

可能有点标题党 哈哈,现在一般的网站登录,用户名和密码被正则限制的死死的,一般很难有漏洞通过sql语句,登录进去,但是不妨碍我们做一个demo,看看怎么的漏洞能被sql利用,同时学习怎样加强防备使用PreparedStatement来预防。

2. 学习

一般我们登录时,一般会把我们的用户名和密码用来作为sql查询的条件,查询数据库,如果能查到则说明有次用户,如果查不到当然无此用户。查询时我们一般都是在java代码中操作的,所以就用到 JDBC
jdbc

2.1 建表插入数据


这里写图片描述

如上图,这里准备了一张 student 表,其中的 studentname 、stupsd 分别当作用户名和密码

2.2 使用 JDBC 查询

代码比较简答,直接贴了

    private static Connection getConnection() throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.jdbc.Driver");
        String url  = "jdbc:mysql://localhost:3306/db4";
        return DriverManager.getConnection(url, "root", "root");
    }
    /**
     * login in jdbc
     * @param name
     * @param psd
     */
    private void login(String name,String psd){
        Connection connection = null;
        Statement statement = null;
        ResultSet resultSet = null;
        try {
            connection = getConnection();
            statement = connection.createStatement();
            // select * from student where studentname = "xxx" and stupsd = "xxx"
            String sql = "select * from student where studentname = '"+name +"' and stupsd = '"+psd+"'";
            resultSet = statement.executeQuery(sql);
            if(resultSet.next()){
                System.out.println("  ---  "+name+" Welcome To Home! ");
            }else{
                System.out.println(" --- error ---");
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            try {
                connection.close();
                statement.close();
                resultSet.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

特别注意 sql 语句的书写,因为用户名和密码都是字符串类型的,所以需要如上图一样的书写。现在那个账号和密码试一试


这里写图片描述]

发现没 ,没问题。再随便修改下账号


这里写图片描述

从上面比较可以看出这个 jdbc 的查询和 sql 语句没问题。现在用下面的用户名和密码试一试


这里写图片描述

发现没,简直莫名其妙,我们的表中那有这个用户和密码,但是确成功登录了。这技巧无非利用 or 这个关键字,毕竟 a = a 一定为 true,然后再加上 or 那 and 左边 和 右边都是 true 了,这样子 where 后面的限制条件其实已经不起作用了,我们可以将这个 sql 语句在数据库中运行下。

select * from student where studentname = “a” or “a” = “a” and stupsd = “a” or “a” = “a”;

这里写图片描述
发现没 上面的语句 其实和下面一样的

select * from student;

2.3 防备措施
  • 过滤用户输入的数据中是否包含非法字符
  • 分步校验,先使用用户名来查询用户,如果查找到了,再比较密码
  • 使用PreparedStatement

前面两种比较好理解,下面看看这个PreparedStatement的使用

PreparedStatement叫预编译声明,是Statement的子接口

使用它的好处

  • 防止SQL攻击
  • 提高代码的可读性,以可维护性
  • 提高效率

PreparedStatement的使用步骤

  1. 使用Connection的prepareStatement(String sql):即创建它时就让它与一条SQL模板绑定;
  2. 调用PreparedStatement的setXXX()系列方法为问号设置值
  3. 调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;

现在将代码修改下,如下

            String sql =  "select * from student where studentname = ?";
            PreparedStatement preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1, name);
            resultSet = preparedStatement.executeQuery();

再用如下代码测试下
这里写图片描述

嗯哼 没问题,现在再使用 有问题的 用户名测试

这里写图片描述

发现没,已经登录不进去了
有朋友可能在想 为什么 PreparedStatement 可以提高效率,其实它已经和 sql 语句绑定了,绑定了 某个 sql 语句的模板,然我们可以使用不用的参数来使用此模板,就是复用 sql 模板。

所以,建议大家在今后的开发中,无论什么情况,都去需要PreparedStatement,而不是使用Statement。

爱看美剧真是太好了
关注
专栏目录
在JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5415
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
防止SQL注入 — PreparedStatement
Daria
05-20 204
Background: Statement不能防止SQL注入, PreparedStatement能够防止SQL注入 如何理解 prepared statements 使用预编译语句是预防SQL注入的最佳方式 使用预编译语句Statement和PreparedStatment sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,...
使用PreparedStatement防止SQL注入
robbinBlog
08-16 439
使用PreparedStatement防止SQL注入  (2012-04-10 16:54:39) 转载▼ 标签:  it 分类: java       Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statem
使用preparedStatement防止SQL注入
穹妹纸的博客
05-25 369
先了解什么是SQL注入使用statement拼接字符串的时候,有一些SQL的特殊关键字参与字符串的拼接,这就会造成安全性的问题! 例如:sql = "select * from user where username = ’ "+ username + " 'and password = ’ " + password + " ’ "; 上面的这样一条SQL语句,在向里面传递参数时,如果登录者登录下面这样一套用户密码: 用户名:rong(随便写) 密码: a’ or ‘a’ = 'a 依然可以实现用户
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1576
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
prepared statement 防止sql注入
mingyangdai的专栏
10-27 1017
预编译有个类是PreparedStatement. 这个类的对象是通过参数?来传值的 例: String sql = "select * from table where id = ?"; Connection con = .....///这里得到是数据库的连接 PreparedStatement ps = con.prepareStatement(sql); ps.setInt(1,id);//
mybatis防止SQL注入的方法实例详解
08-27
SQL 注入攻击是一种简单的攻击手段,但可以通过遵循编程规范和使用预编译语句、存储过程等方法来防止。MyBatis 通过使用预编译语句和存储过程来防止 SQL 注入攻击。开发人员可以通过遵循编程规范和使用安全的编程...
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 384
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
有效防止SQL注入的5种方法总结
09-09
SQL注入是一种严重的网络安全威胁,它利用开发者在编程时...通过上述方法,可以显著提高应用程序的防护能力,有效地防止SQL注入攻击。然而,安全是一个持续的过程,需要开发团队持续关注新的威胁,并及时更新防御策略。
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1315
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
通过PreparedStatement预防SQL注入
jakelihua
11-25 640
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
【运维】PreparedStatement防止SQL注入
最新发布
weixin_37543485的博客
09-15 522
参数化查询是编写安全数据库代码的最佳实践之一。
Java:PreparedStatement 防止SQL注入
CSDN_chenyang的博客
06-02 333
Statement和PreparedStatement的区别 联系 PreparedStatement继承自Statement,两者都是接口。 Statement 用于执行静态SQL 语句在执行时,必须指定一个事先准备好的SQL语句。 PreparedStatement 是预编译的SQL语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句可以包含动态的参数 “ ?”,执行时可以为“ ? ”动态设置参数值。 使用PreparedStatement对象执行sql时,sql语句被数
Java SQL接口 PreparedStatement 防止SQL注入 以及Dao模式
Lemon
07-24 814
PreparedStatement
PreparedStatement防止SQL注入,麻烦了,但安全了
自知者明,知人者智
04-14 580
下面以用户登录为案例,对比使用PreparedStatement和不使用PreparedStatement的区别 先介绍下SQL注入SQL注入:在拼接SQL时,有一些特殊关键字参与字符串的拼接,会造成安全问题 解决SQL注入的问题:使用Preparedstatement对象来解决 预编译的SQL:参数使用?作为占位符 如:select * from user where username=? ...
数据库连接中使用PreparedStatement预编译防止SQL注入
北京Java青年
06-13 1354
//使用预编译不需要对SQL语句进行拼接,而是使用?占位符,因此可以防止SQL注入,提升了安全性。 1.提高代码可读性和可维护性 2.提高sql语句执行性能 3.提高安全性PreparedStatement pst=new PreparedStatement(); String sql=”select * from user2 where name=?” String userName=”li
防止SQL注入利用 preparedStatement机制
Big_sky的博客
09-24 445
防止SQL注入利用 preparedStatement 机制 什么是SQL? 结构化查询语言(Structured Query Language)简称SQL,是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理。 为什么要防止SQL注入? SQL语法允许数据库命令和用户数据混杂在一起的,这给数据库操作带来方便的同时也带来了安全隐患, 如果开发人员...
Java使用PreparedStatement与Filter防止SQL注入
"Java防止SQL注入的几种方法主要集中在避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据中嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值