JAVA防注入-Mysql

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 网络安全 文章标签: mysql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jack0610/article/details/121257823
版权

简介

通常在java开发过程中,凡是涉及到数据库数据的操作都会存在sql语句拼接的问题,而拼接的sql语句往往会造成注入漏洞,所以为了防止注入的产生,在开发过程中都应该注意这一点。

正文

在java数据库拼接的过程中,为了防止注入的产生,一般我们会使用PreparedStatement对象来解决这个问题,这里以mysql数据库作为主要对象!

PreparedStatement:执行sql的对象:

SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题

​ 1、输入用户随便,输入密码:a’ or ‘a’ = 'a

​ 2、sql:select * from user where username = ‘admin’ and password = ‘123456’ or ‘a’ = ‘a’

  • 上面的sql语句放在mysql中会执行查询所有username和password的内容。

通常情况下为了解决注入问题, 开发过程中会使用PreparedStatement对象来解决问题,即:预编译的SQL语句,参数使用?作为占位符。

PreparedStatement对象使用步骤:

1、导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
2、注册驱动
3、获取数据库连接对象 Connection
4、定义sql

  • 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;

5、获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6、给?赋值:

  • 方法: setXxx(参数1,参数2)
    • 参数1:?的位置编号 从1 开始
    • 参数2:?的值

7、执行sql,接受返回结果,不需要传递sql语句
8、处理结果
9、释放资源

代码演示:

jdbc.properties

url=jdbc:mysql:///数据库名
user=...
password=...
driver=com.mysql.jdbc.Driver	// mysql驱动

JDBCUtils.java

package com.test.util;

import java.io.FileReader;
import java.io.IOException;
import java.net.URL;
import java.sql.*;
import java.util.Properties;

/**
 * JDBC工具类
 */
public class JDBCUtils {
    private static String url;
    private static String user;
    private static String password;
    private static String driver;
    /**
     * 文件的读取,只需要读取一次即可拿到这些值。使用静态代码块
     */
    static{
        //读取资源文件,获取值。
        try {
            //1. 创建Properties集合类。
            Properties pro = new Properties();
            //获取src路径下的文件的方式--->ClassLoader 类加载器
            ClassLoader classLoader = JDBCUtils.class.getClassLoader();
            URL res  = classLoader.getResource("jdbc.properties");
            String path = res.getPath();
            //2. 加载文件
            pro.load(new FileReader(path));

            //3. 获取数据,赋值
            url = pro.getProperty("url");
            user = pro.getProperty("user");
            password = pro.getProperty("password");
            driver = pro.getProperty("driver");
            //4. 注册驱动
            Class.forName(driver);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }


    /**
     * 获取连接
     * @return 连接对象
     */
    public static Connection getConnection() throws SQLException {

        return DriverManager.getConnection(url, user, password);
    }

    /**
     * 释放资源
     * @param stmt
     * @param conn
     */
    public static void close(Statement stmt,Connection conn){
        if( stmt != null){
            try {
                stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if( conn != null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }


    /**
     * 释放资源
     * @param stmt
     * @param conn
     */
    public static void close(ResultSet rs,Statement stmt, Connection conn){
        if( rs != null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if( stmt != null){
            try {
                stmt.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if( conn != null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

JDBCDemo.java

package com.test.jdbc;

import com.test.util.JDBCUtils;

import java.sql.*;
import java.util.Scanner;

/**
 * 举例:
 * 	1. 通过键盘录入用户名和密码
 * 	2. 判断用户是否登录成功
 */
public class JDBCDemo {

    public static void main(String[] args) {
        //1.键盘录入,接受用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String username = sc.nextLine();
        System.out.println("请输入密码:");
        String password = sc.nextLine();
        //2.调用方法
        boolean flag = new JDBCDemo().login(username, password);
        //3.判断结果,输出不同语句
        if(flag){
            //登录成功
            System.out.println("登录成功!");
        }else{
            System.out.println("用户名或密码错误!");
        }
    }

    /**
     * 登录方法,使用PreparedStatement实现
     */
    public boolean login(String username ,String password){
        if(username == null || password == null){
            return false;
        }
        //连接数据库判断是否登录成功
        Connection conn = null;
        PreparedStatement pstmt =  null;
        ResultSet rs = null;
        //1.获取连接
        try {
            conn =  JDBCUtils.getConnection();
            //2.定义sql
            String sql = "select * from user where username = ? and password = ?";
            //3.获取执行sql的对象
            pstmt = conn.prepareStatement(sql);
            //给?赋值
            pstmt.setString(1,username);
            pstmt.setString(2,password);
            //4.执行查询,不需要传递sql
            rs = pstmt.executeQuery();
            //5.判断
            return rs.next();//如果有下一行,则返回true

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JDBCUtils.close(rs,pstmt,conn);
        }


        return false;
    }


}

总结

使用PreparedStatement来完成增删改查操作具有如下优点:

		1. **可以防止SQL注入**
		2. **效率更高**
Jeromeyoung666
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java-Edge#Java-Interview-Tutorial#SQL注入1
07-25
解决sql注入sql预编译在服务器启动时,mysql client把sql语句模板(变量采用占位符)发给mysql服务器,mysql服务器对sql语句模板进行编
Java项目止SQL注入的四种方案
良月柒
08-25 208
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:blog.csdn.net/weixin_42675423/article/details/129298701一、什么是SQL注入?SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非...
Java项目止SQL注入的方式总结
睡竹的博客
03-02 9325
Java项目止SQL注入的方式总结 springboot配置请求过滤器止SQL注入 nginx止SQL注入 mybatis止SQL注入
java查询mysql数据库带参数,针对MySQL数据库过滤SQL查询参数(JAVA兑现)
weixin_42104366的博客
03-10 563
针对MySQL数据库过滤SQL查询参数(JAVA实现)/*** 过滤SQL参数,止特殊字符引发的异常和SQL注入* 只适用于MySQL数据库* @author sodarfish* @since 2008.1.21* @update 2008.1.24*/public class SQLFilter{public static final int NUMBER_FOR_QUERY=0;publi...
过滤器实现全局SQL注入
ACGkaka的博客
10-28 3821
目录SqlInjectFilter.javaMyRequestWrapper.java 场景: 公司渗透测试,发现了输入框有SQL注入风险,于是进行修改。 解决方案: 增加全局过滤器,对请求参数中存在SQL过滤器的参数进行提示,主要增加了两个: SqlInjectFilter,过滤器; MyRequestWrapper,用于过滤器中获取POST请求参数。 SqlInjectFilter.java import com.alibaba.fastjson.JSONObject; import com.
Java命令注入
热门推荐
沧海一粟
07-16 1万+
1 Java中的命令注入Java中的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix中以enecve 来创建子进程执行命令
Java毕业设计-基于SSM+MySQL的医院预约挂号系统源码+数据库.zip
最新发布
01-10
基于SSM(Spring+Spring MVC+MyBatis)和MySQL的医院预约挂号系统是一个很好的Java毕业设计选题。下面是一个简单的系统设计思路,供参考: 1. 系统需求分析和设计: - 确定系统的功能需求,如患者预约挂号、医生...
java-ee-7-example
05-11
java-ee-7-example 容器配置文件:Wildfly 9.0.0.Final 数据库MySQL 要使用的Java EE模块: JAX-RS:用于火CDI:用于注入购物车数据JPA:ORM连接到mysql 使用实现:hiberante 使用缓存提供程序:infinispan EJB...
mysql注入
02-07
mysql注入是个严重的安全问题,这个是简单的PHP配合mysql注入
java-sec-code:基于springboot和spring security的Java Web常见漏洞和安全代码
02-03
Java秒代码Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。介绍该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞型代码都有一个安全漏洞。 相关的修订代码在注释或代码中。 ...
java止SQL注入
zwjzone的博客
03-10 1116
springboot使用$符号传参,止sql注入
Java中的10种方法止XSS攻击
qq_28245087的博客
06-29 9117
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,止潜在的安全漏洞和错误数据的影响。
Java止SQL注入的一些途径
主题模板站的博客
01-31 2205
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是不胜
互联网架构小马的博客
10-20 512
前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。 新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在方法上面,更多的是以xml的方式写到xml文件。 Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成
java 止js注入_Java如何止JS脚本注入 Java止JS脚本注入代码实例
weixin_39673471的博客
02-16 1108
Java如何止JS脚本注入?本篇文章小编给大家分享一下Java止JS脚本注入代码实例,文章代码介绍的很详细,小编觉得挺不错的,现在分享给大家供大家参考,有需要的小伙伴们可以来看看。1、java止JS脚本注入的工具-通用public class XssUtil {private static MapxssMap = new LinkedHashMap();private static Ma...
java os 命令注入攻击,Java止路径操控和命令注入java路径操控注入,public class...
weixin_36025176的博客
03-13 839
Java止路径操控和命令注入java路径操控注入,public classpublic class Test { public static void main(String[] args) { System.out.println(getSafeCommand("abcd&efg")); System.out.println(...
java mysql注入_Java止SQL注入的途径介绍
weixin_34782968的博客
01-19 168
为了止SQL注入,最简洁的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来止SQL注入...
mysql like 注入删除_MySQL 及 SQL 注入止SQL注入、Like语句中的注入
weixin_39564524的博客
01-19 349
MySQL 及 SQL 注入如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。本章节将为大家介绍如何止SQL注入,并通过脚本来过滤SQL中注入的字符。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的...
mysql-connector-java怎么注入
11-27
为了止SQL注入攻击,可以采用以下方法: 1.使用PreparedStatement代替Statement执行SQL语句,PreparedStatement可以预编译SQL语句,避免了SQL注入攻击。 ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery(); ``` 2.使用CallableStatement执行存储过程,CallableStatement同样可以预编译SQL语句,避免了SQL注入攻击。 ```java String sql = "{CALL get_user(?, ?)}"; CallableStatement cstmt = conn.prepareCall(sql);cstmt.setString(1, username); cstmt.setString(2, password); ResultSet rs = cstmt.executeQuery(); ``` 3.对用户输入的数据进行过滤和验证,例如使用正则表达式过滤非法字符,或者限制输入长度等。 ```java String username = request.getParameter("username"); if (username.matches("[a-zA-Z0-9]+")) { // 合法的用户名 } else { // 非法的用户名 } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jeromeyoung666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值