JAVA jdbc(数据库连接池)SQL注入

最新推荐文章于 2023-10-07 08:49:31 发布
最新推荐文章于 2023-10-07 08:49:31 发布
阅读量903 收藏
点赞数
分类专栏: java学习 文章标签: java教程 java学习 jdbc sql注入 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javazaixian/article/details/47952791
版权
本文介绍了SQL注入的概念、原因及原理,展示了Java JDBC中如何通过Statement和PreparedStatement处理SQL注入。使用PreparedStatement能有效防止SQL注入,因为它预编译SQL语句,避免了用户输入的数据被解释为SQL命令。
摘要由CSDN通过智能技术生成
1.SQL注入的概念…


  所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生sql注入。 黑客通过SQL注入攻击可以拿到网站数据库的访问权限,之后他们就可以拿到网站数据库中所有的数据,恶意的黑客可以通过SQL注入功能篡改数据库中的数据甚至会把数据库中的数据毁坏掉。


2.SQL注入产生的原因…


  sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。对于java数据库连接JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构。


3.SQL注入原理…


  SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化 查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种 SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的 话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。


 SQL注入式攻击的主要形式有两种。一是直接将代码插入到与SQL命令串联 在一起并使得其以执行的用户输入变量。上面笔者举的例子就是采用了这种方法。由于其直接与SQL语句捆绑,故也被称为直接注入式攻击法。二是一种间接的攻 击方法,它将恶意代码注入要在表中存储或者作为原书据存储的字符串。在存储的字符串中会连接到一个动态的SQL命令中,以执行一些恶意的SQL代码。注入 过程的工作方式是提前终止文本字符串,然后追加一个新的命令。如以直接注入式攻击为例。就是在用户输入变量的时候,先用一个分号结束当前的语句。然后再插 入一个恶意SQL语句即可。由于插入的命令可能在执行前追加其他字符串,因此攻击者常常用注释标记“—”来终止注入的字符串。执行时,系统会认为此后语句 位注释,故后续的文本将被忽略,不背编译与执行。


4.举例说明


  这里我只是使用简单的语句来实现SQL的注入,只是为了让大家简单的看一下注入后的效果…都是一些简单的例子,一般黑客是不可能用我这种太简单方式来实现注入的,一般都是很复杂的东西…由于自己也不打算过深的研究这个东西,所以就上一些简单的例子..




package JDBC_4_SQL_injection;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.Statement;
import java.sql.SQLException;
import java.sql.ResultSet;
public class injection_2 {
    static final String DB_URL="jdbc:mysql://localhost/java_mysql";
    static final String USER="root";
    static final String PAS="49681888"
最低0.47元/天 解锁文章
铃灵
关注
专栏目录
jdbcsql注入
林高禄
06-24 9011
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
JDBC 数据库连接池详解和示例
菜鸟心声:学的不仅是技术,更是梦想!
12-28 1228
JDBC数据库连接池学习目标数据库连接池数据库连接池原理第一步第二步第三步第四步第五步DBCPDBCP参数方法1方法2C3P0方法1方法2DbUtilsQueryRunner核心类ResultSetHandler结果集处理类案例查询其他方法作业模拟数据库连接池DBCP 连接池C3P0连接池 学习目标 了解数据库连接池的原理 了解C3P0数据库连接池 了解DBCP数据库连接池 掌握Druid数据库连接池 数据库连接池 数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用现有的N个(自定义)数
JDBC-用户登录(不安全)
whatname123的博客
09-07 209
package jdbc; import java.sql.*; import java.util.Scanner; import com.mysql.cj.protocol.Resultset; import com.mysql.cj.x.protobuf.MysqlxCrud.Collection; public class jdbc2 { public static void main(String[] args) throws Exception { // TODO 自动生成的方法存根
JDBCSQL注入
qq_46093575的博客
05-16 234
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库
JDBCsql注入
PP东博客
08-22 751
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不数据库所运行。
jdbc中的sql注入
a8153285的博客
04-23 249
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
java数据库连接池.rar
12-05
数据库连接池Java应用程序在处理数据库交互时的重要组件,它能有效地管理数据库连接,提高系统性能,降低资源消耗。在Java开发中,我们通常使用像C3P0、Druid这样的连接池来优化数据库访问。JDBCJava Database...
java使用jdbc连接oracle数据库
08-17
在实际开发中,为了提高性能和安全性,通常采用连接池管理数据库连接,并使用预编译的`PreparedStatement`来防止SQL注入攻击。此外,还要注意处理可能出现的异常,并确保在出现错误时能正确关闭资源。
Java工程通过JDBC连接数据库方法(SQL Server)
12-24
- 连接池:在大型项目中,考虑使用连接池(如C3P0、HikariCP等),以提高性能和管理数据库连接。 6. dateBaseTest.zip文件: 这个文件可能包含了一个演示如何使用JDBC连接SQL Server的Java项目。解压后,你可以...
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
jdbc——sql注入
m0_72960906的博客
10-31 972
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句将表中所有的数据查询出来,然后再做数据判断的时候,就得到正确结果,从而说用户名和密码正确,登录成功。
JDBC中的SQL注入
Leessang
05-22 944
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编各自的操作实现。 1.2 S
JDBCSQL注入
最新发布
每日一记,每周一结。
10-07 837
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
SQL注入Java
weixin_33958366的博客
10-23 78
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验: http://www.cnblogs.com/charlesblc/p/5987951.html 还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli) http://www.cnblogs.com/charlesblc/p/5988919.html   那么对于Java是怎样的情况呢?...
JDBCSQL注入
Thumb_的博客
02-22 177
-- 创建一张表 CREATE TABLE admin( name VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '' )CHARACTER SET UTF8; -- 添加数据 INSERT admin VALUES('tom', '123'); -- 查找某个管理是否存在 SELECT * FROM admin WHERE name = 'wy' AND pwd = '123'; -- SQL -- 输入用户名 为 1'.
JDBC之【SQL注入
weixin_48485216的博客
04-16 1593
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
java SQL注入
点>>滴>>成>>海
10-11 277
1.用户名随便输入 2.密码:1‘  or '1'='1
Java JDBC数据库连接完全指南
2. 使用连接池管理数据库连接,如C3P0、HikariCP等,提高性能和资源利用率。 3. 批量处理:对于大量数据插入或更新,使用Statement的addBatch()和executeBatch()方法进行批量操作。 4. 设置合适的事务隔离级别,控制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值