mysql 防止依赖注入

最新推荐文章于 2024-04-17 14:14:13 发布
最新推荐文章于 2024-04-17 14:14:13 发布
阅读量305 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justsomebody126/article/details/115070656
版权
本文探讨了参数注入问题及其在Java代码中的实例,重点介绍了如何通过PreparedStatement预防止SQL注入,提供正确使用占位符和字符串连接的安全示例。还提及了JDBC限制和表名参数化的挑战。
摘要由CSDN通过智能技术生成

参数注入

  • 导致注入
String name = request.getParameter("name");
String query = String.format("SELECT account_balance FROM user_data WHERE user_name ='%s'", "table_a");
PreparedStatement pstmt = connection.prepareStatement( query );
pstmt.setString( 1, name);
ResultSet rs = ps.executeQuery();
while (rs.next()) {
    String id = rs.getString("id");
}
  • 预防注入
String name = "table_a";
String query = "SELECT account_balance FROM user_data WHERE user_name = ? ";
PreparedStatement pstmt = connection.prepareStatement(query);
pstmt.setString( 1, name);
ResultSet rs = ps.executeQuery();
while (rs.next()) {
    String id = rs.getString("id");
}

表名注入

String tableName = "table_A";
PreparedStatement ps = dataSource.getConnection().prepareStatement("show full columns from ?");
ps.setString(1, tableName);
ResultSet rs = ps.executeQuery();

JDBC 不支持以表名作为 paramter,这里会报语法错误,因为生成的 sql 是 show full columns from ‘table_A’’’。
在这里插入图片描述
同理,这些都不行,prepared statements only allow parameters to be bound for “values” bits of the SQL statement.
参考:https://stackoverflow.com/questions/11312737/can-i-parameterize-the-table-name-in-a-prepared-statement

CREATE DATABASE IF NOT EXISTS ?
SELECT * FROM ?

like 参数注入

  • 错误方式
String idValue = "100";
String sql = "SELECT * FROM flink_test_dst WHERE name LIKE '%?%'";
PreparedStatement ps = dataSource.getConnection().prepareStatement(sql);
ps.setObject(1, idValue);
ResultSet rs = ps.executeQuery();
while (rs.next()) {
    String id = rs.getString("id");
    System.out.println("id: " + id);
}

这样会导致 PreparedStatement 认为没有参数。ps.setObject(1, idValue); 失败。

  • 正确方式
String idValue = "%" + "100" + "%";
String sql = "SELECT * FROM flink_test_dst WHERE name LIKE ?";
PreparedStatement ps = dataSource.getConnection().prepareStatement(sql);
ps.setObject(1, idValue);
ResultSet rs = ps.executeQuery();
while (rs.next()) {
    String id = rs.getString("id");
    System.out.println("id: " + id);
}
justsomebody126
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mysql依赖jar包
11-20
- 安全性:使用PreparedStatement以防止SQL注入攻击,同时注意不要在代码中硬编码敏感信息如用户名和密码。 - 连接池:在大型项目中,推荐使用连接池(如C3P0、HikariCP等)管理数据库连接,提高性能并优化资源...
node-mysql防止SQL注入的方法总结
09-09
- **定期更新和打补丁**:保持`node-mysql`库和其他依赖项的最新状态,以便利用最新的安全修复和功能。 总之,防止SQL注入是每个Web开发者必须重视的问题。通过正确使用`node-mysql`提供的工具,以及遵循良好的编程...
如何避免依赖注入构造函数的疯狂?
CHCH998的博客
08-09 387
I find that my constructors are starting to look like this: 我发现我的构造函数开始看起来像这样: public MyClass(Cont
避免mysql注入漏洞_预防数据库注入攻击方法(Mysql)
weixin_42315701的博客
01-19 476
导语:近年来数据库注入漏洞出现率是很高的,owasp排名也在前10当中。大多数都是由于开发人员缺乏安全意识造成了注入漏洞。学习信息安全技术,不仅要学会漏洞利用,也需要我们有修补漏洞的能力,来提高应用的安全性。常用来预防数据库注入的方案大致有本文中的三种。一、预处理语句及参数绑定预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句针对SQL注入是非常有用的,因为参数值发送后使用不...
Spring如何阻止依赖注入
mameng1988的博客
05-06 229
对类实现InstantiationAwareBeanPostProcessor接口,重写postProcessAfterInstantiation方法的返回值为false,则阻止bean的依赖注入
mysql依赖注入_依赖注入的三种方式
weixin_28607671的博客
01-28 258
Spring依赖注入(DI)的三种方式,分别为:1. 接口注入2. Setter方法注入3. 构造方法注入下面介绍一下这三种依赖注入在Spring中是怎么样实现的。首先我们需要以下几个类:接口 Logic.java接口实现类 LogicImpl.java一个处理类 LoginAction.java还有一个测试类 TestMain.javaLogic.java:-------------------...
防止sql注入的一些方法
开发小白的博客
06-06 424
总的来说有以下几点: 1.永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等。 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息明文存放,请加密或者has
PHP+Mysql 带SQL注入源码 下载
11-29
标签 "Mysql SQL注入" 明确地指出该资源与MySQL数据库的SQL注入问题有关。MySQL是最常用的开源关系型数据库管理系统之一,而SQL注入则是一个常见的安全漏洞,通常发生在不正确过滤用户输入的情况下,导致恶意SQL命令...
php防止sql注入的方法详解
10-20
不过,此方法应与预处理语句一起使用,因为仅依赖转义可能会导致一些复杂注入的漏网之鱼。 4. **输入验证**: 对用户输入进行严格的验证,确保输入符合预期的数据类型和格式。例如,如果用户名只接受字母数字字符...
Spring入门——依赖注入的实现方式、如何阻止依赖注入和bean的初始化工作
最新发布
2401_84049200的博客
04-17 1056
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。面试题多多少少对于你接下来所要做的事肯定有点帮助,但我更希望你能透过面试题去总结自己的不足,以提高自己核心技术竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!竞争力。每一次面试经历都是对你技术的扫盲,面试后的复盘总结效果是极好的!
spring依赖注入三种方式
kerryg的专栏
12-10 186
在Spring容器中为一个bean配置依赖注入有三种方式: 1、使用属性的setter方法注入,最常用的方式; 2、使用构造器注入; 3、使用Field注入(用于注解方式) 1)、使用属性setter方法注入 首先要配置被注入的bean,在该bean对应的类中,应该要有注入的对象属性或者基本数据属性。例如:为JobServiceImpl类注入JobMapper,同时为JobSe...
sql依赖注入的解决方案
xyz的博客
11-02 1552
1.数据库jdbc连接利用preparedstatement,因为sql是编译好的 类似于1 or 1=1 只会被当做一个字段。 2.利用stringescapeutils工具类,这个可以将字符串解析和泛解析。支持xml json sql html等。
sql注入攻击与防御java_Java应用中的SQL依赖注入攻击和防范
weixin_39710295的博客
02-28 152
说说自己对注入的一些体会吧。什么叫SQL依赖注入?顾名思义,就是依赖于SQL语句的一种攻击方式,主要采用特殊字符串来处理的SQL漏洞。这个SQL依赖注入已经是很老的漏洞了,现在基本上DAO层的编写已经很少使用纯JDBC来写sql语句了。所以在没有使用framework来做DAO,而直接使用JDBC且凭凑的SQL语句的话,那么很容易产生依赖注入的漏洞,如下用户登录模块(目前手头项目中就有活生生的例子...
mysql简单防注入_一个容易被忽视的技巧—MySQL 绕过防注入
weixin_36156325的博客
01-20 95
这个方法应该我想应该也有很多人知道了,只是没有人写出来,偷偷的告诉你们,这个方法可以绕过很多 web 防火墙,话说从现在之后能不能绕过我就不知道了,哈哈。但是该方 法的局限就是只适合在 MYSQL 上,其他数据库貌似不支持。转入正题:首先来看 MySQL 的官方文档html">http://dev.mysql.com/doc/refman/5.1/en/comments.html上面的详细信...
防止SQL注入的三大方法
wieyi的博客
03-06 2518
 一、存储程序          在学习数据库视频的时候接触过,它是存储在数据库中的一些事先编译好的指令。在用的时候不用重新编写,直接调用就好了。所以,使用它可以大大提高程序的执行效率。 那么,如何创建一个存储程序并使用它呢?这是我们今天要解决的问题。          1.创建过程             可编程性——下拉菜单——存储过程——右键——查询菜单———指定模板参数的值—
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
热门推荐
XRN的博客
05-20 2万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9787
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
突破MySQL注入防御:绕过技巧与实操演示
MySQL注入绕过技术是一种高级的黑客攻击手段,针对那些依赖于关键词或函数过滤来防止SQL注入的数据库系统。演讲者Johannes Dahse来自德国Bochum,是一位IT安全领域的学生,专注于web安全研究,并且已经开发了PHP源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值