JDBC防止SQL注入原理

最新推荐文章于 2023-10-22 01:05:05 发布
最新推荐文章于 2023-10-22 01:05:05 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: MySQL

一、基本解釋

1.JDBC(Java DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。

2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。

3.preparement:它是从statement上继承过来了,性能比statement好

4.CallableStatement:它是从statemnet上继承过来的

二:JDBC防止sql注入原理:

    举列子,登录页面需要使用手机号、密码进行登录。手机号、密码对应数据库字段为account 、pwd;

   当在页面上输入手机号-333333、密码55555的时候,数据库使用执行的是 select  *  from  用户表  where  account = ‘+“手机号”’+‘’  and pwd = ‘+“密码”’+‘’,当密码输入格式为  111;or 1=1时,输入的所有内容会直接传入该语句并进行拼接,该查询语句总是正确,所以密码是错误的也能够登录系统。

   使用preparement接口,可以进行预编译。预编译时把,输入框传入的数据强制转化为非sql关键字的字符串或者其他数据类型,这样就避免了sql注入。
 

hellozhxy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 224
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
JDBC 编程六步 防止SQL注入
qq_45858803的博客
03-02 372
文章目录图示理解Statement和PreparedStatementclass UserLogin 图示理解 Statement和PreparedStatement class UserLogin import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class UserLogin { public static void main(Strin
JDBC入门六:SQL注入攻击:什么是SQL注入攻击?;Java中引号嵌套的分析;
小枯林的博客
04-11 294
接上篇博客,沿用JDBC入门五:一个按部门查询员工功能的例子这篇博客中的案例代码; 目录 一:什么是SQL注入攻击 (1)情况阐述 (2)演示准备 (3)启动程序,SQL注入攻击演示​ (4)分析 附:字符串拼接时:引号嵌套的分析 一:什么是SQL注入攻击 (1)情况阐述 即在这个例子中,是通过拼凑变量和字符串的方式得到最终的SQL语句的;而这种处理方式是有很大隐患的。 (2)演示准备 如:QueryCommand类作两处更改: (3)启动程序,SQL注入攻击演示 ..
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
预编译以及为什么预编译可以防止sql注入
weixin_44717588的博客
03-15 4335
预编译 什么是预编译? 预编译就是做一些代码文本的替换工作,是整个编译过程最先做的事情. 比如有一个语句: 我可真是太##了! 预编译就是对#进行替换,我换成漂亮,则变成:我可真是太漂亮了! 其实就是在代码运行之前,对代码进行一些处理. 为什么预编译能够防止sql注入? 我们先来看一个例子,通俗的理解一下预编译的注入: 使用sql拼接:"select * from user where username = ’ " + name + " ’ "; 页面上可能会有个输入框:用户名:______________
JDBCSQL注入注入攻击原理
YCixZoem的博客
03-12 954
最近在学jdbc的数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
防止SQL注入dbq
04-06
1. **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将SQL语句模板与参数分开处理,如: ```java String sql = "SELECT * FROM Users WHERE ID = ?"; ...
sqljdbc4.jar
11-22
预编译的`PreparedStatement`还可以防止SQL注入攻击。 3. 结果集处理:`ResultSet`对象用于存储查询结果,开发者可以通过迭代遍历,获取并处理每一行数据。 4. 事务管理:`Connection`对象提供了开始、提交和回滚...
SQL注入源码+SQL注入命令
07-16
正确的方法是使用参数化查询,例如预编译的`PreparedStatement`,以防止SQL注入: ```java String sql = "SELECT * FROM users WHERE id=?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt....
SQLServer2008 Jdbc*
03-12
使用JDBC驱动时,应注意数据库的安全性,比如使用预编译的`PreparedStatement`来防止SQL注入攻击,对敏感信息进行加密,并遵循最小权限原则分配数据库用户权限。 10. **兼容性与版本**: SQL Server 2008 JDBC...
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2699
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 915
语法树的建立?模糊查询又如何实现预编译
编译预处理机制(SQL注入问题解决原理
lf1949的博客
03-24 2558
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译和sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译和sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
彻底搞懂MyBaits中#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入的问题(不会考虑字符过滤问题)。
为啥jdbc问号占位符可以防注入
yang_best的专栏
02-09 5771
先看下面用占位符来查询的一句话 String sql = "select * from administrator where adminname=?"; psm = con.prepareStatement(sql); String s_name ="zhangsan' or '1'='1"; psm.setString(1, s_name); 假设数据库表中并没有zhangsan
JdbcTemplate防注入的几种方式
爱笑才不是傻帽的博客
07-18 2716
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
最新发布
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
Oracle开发人员防范SQL注入攻击指南
JDBC是Java中访问数据库的标准API,文档强调了`PreparedStatement`和`CallableStatement`接口在防止SQL注入中的重要性。 5、**防护策略** - **绑定变量**:使用预编译语句和绑定变量可以有效防止SQL注入。 - **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值