sql注入问题--PreparedStatement增删查改CRUD

最新推荐文章于 2023-05-10 23:40:45 发布
最新推荐文章于 2023-05-10 23:40:45 发布
阅读量209 收藏
点赞数
分类专栏: java mysql 登录 jdbc 文章标签: mysql jdbc sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingsirvince/article/details/90374929
版权
java 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
mysql
9 篇文章 0 订阅
订阅专栏
jdbc
3 篇文章 0 订阅
订阅专栏

sql注入问题

用户登录,用statement存在sql注入问题,如下

 //String sql = "select id,name,password,email,birthday from t_user where name='"
        //                + name +"' and password='" + password+ "'";
        //String sql = "select id,name,password,email,birthday from t_user where name='xxx' and password='xxx' or'1'=1";

判断条件被改成了 or’1’=1
所以必然select成功

解决方法PreparedStatement

  1. sql 用?表示参数

String sql = “select id,name,password,email,birthday from t_user where name=? and password=?”;

  1. 用PreparedStatement,这里写入sql变量

PreparedStatement stmt = conn.prepareStatement(sql);//这里写入sql变量

  1. 写入参数

stmt.setString(1, name);
stmt.setString(2, password);

  1. Query这里,没有sql变量了

        ResultSet rs = stmt.executeQuery();

package com.king.service;

import com.king.User;
import com.king.util.DBUtil;

import java.sql.*;

//sql注入问题解决,使用PreparedStatement,修改代码,
public class LoginServiceNew {

    public User findUserByUsernameAndPsaaword(String name, String password) {
        User u = null;
        Connection conn = null;
        //sql里 参数用? 代替
        String sql = "select id,name,password,email,birthday from t_user where name=? and password=?";
        //String sql = "select id,name,password,email,birthday from t_user where name='"
        //                + name +"' and password='" + password+ "'";
        //String sql = "select id,name,password,email,birthday from t_user where name='xxx' and password='xxx' or'1'=1";

        System.out.println(sql);

        try {
            conn = DBUtil.getConnection();

            PreparedStatement stmt = conn.prepareStatement(sql);//这里写入sql变量

            stmt.setString(1, name);
            stmt.setString(2, password);
            ResultSet rs = stmt.executeQuery();
            while (rs.next()) {
                //这while里面的 user新对象,必不可少
                u = new User();
                u.setId(rs.getInt("id"));
                u.setName(rs.getString("name"));
                u.setEmail(rs.getString("email"));
                u.setPassword(rs.getString("password"));
                u.setBirthday(rs.getDate("birthday"));
            }


        } catch (SQLException e) {
            e.printStackTrace();
        }

        return u;
    }
}

PreparedStatement增删查改CRUD

package com.king;


import com.king.util.DBUtil;
import org.junit.Test;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.List;

/**
 * PreparedStatement 使用
 */

public class CRUD_Test04 {


    @Test
    public void testSelect()  {
        String sql = "select id,name,password,email,birthday from t_user";

       try(
               //获取连接Connection
               Connection conn = DBUtil.getConnection();

               //得到 执行sql语句的对象statement
               PreparedStatement stmt = conn.prepareStatement(sql);

               //执行sql语句,并得到返回结果
               ResultSet rs = stmt.executeQuery();
               ){


           //处理结果
           List<User> userList = new ArrayList<>();
           while (rs.next()){
               User u = new User();
               //创建User对象的语句,一定要写在里面,否则出现问题,所有返回值都写到一个数组的元素里了
               u.setId(rs.getInt("id"));
               u.setName(rs.getString("name"));
               u.setPassword(rs.getString("password"));
               u.setEmail(rs.getString("email"));
               u.setBirthday(rs.getDate("birthday"));
               userList.add(u);
           }
           System.out.println(userList);
       } catch (SQLException e) {
           e.printStackTrace();
       }


    }

    @Test
    public void testInsert(){

    String sql = "insert into t_user(name,password,email,birthday) values (?,?,?,?)";
    try (
            //获取连接Connection
            Connection conn = DBUtil.getConnection();

            //得到 执行sql语句的对象statement
            PreparedStatement stmt = conn.prepareStatement(sql)
    ){
        stmt.setString(1,"dog");
        stmt.setString(2,"123456");
        stmt.setString(3,"dog@163.com");
        stmt.setString(4,"1997-01-01");

        int flag = stmt.executeUpdate();
        if(flag>0){
            System.out.println("succeeded");
        }else {
            System.out.println("failed");
        }


    } catch (SQLException e) {
        e.printStackTrace();
    }


    }



    @Test
    public void testUpdate() {

        String sql = "update t_user set name='horse' where id=1";
        try (
                //获取连接Connection
                Connection conn = DBUtil.getConnection();
                //得到 执行sql语句的对象statement
                PreparedStatement stmt = conn.prepareStatement(sql)
                ){
            //执行sql语句,并得到返回结果 (update,返回一个flag)
            int flag = stmt.executeUpdate();
            if(flag>0){
                System.out.println("update succeeded");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }

    }

    @Test
    public void testDelete() throws ClassNotFoundException, SQLException {

        String sql = "delete from t_user where id=5";
        try(
                //获取连接Connection
                Connection conn = DBUtil.getConnection();

                //得到 执行sql语句的对象
                PreparedStatement stmt = conn.prepareStatement(sql)

                ){
            int flag = stmt.executeUpdate();
            if(flag>0){
                System.out.println("delete succeeded");
            }else{
                System.out.println("failed");
            }
        }



    }
}

用户对象已经有对应创建

user 用户对象属性

package com.king;
/**
 * 用户表
 * 属性,getset,tostring方法
 */

import java.util.Date;

public class User {
    private int id;
    private String name;
    private String password;
    private String email;
    private Date birthday;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    public Date getBirthday() {
        return birthday;
    }

    public void setBirthday(Date birthday) {
        this.birthday = birthday;
    }

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", name='" + name + '\'' +
                ", password='" + password + '\'' +
                ", email='" + email + '\'' +
                ", birthday=" + birthday +
                '}';
    }
}

DBUtil 注册驱动,db参数写入

package com.king.util;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.util.ResourceBundle;

public class DBUtil {
   //统一定好参数,通过 ResourceBundle调取 配置文件db.properties内参数属性
    private static String driverClass;
    private static String url;
    private static String username;
    private static String password;
//ResourceBundle.getBundle("db"),要求在classpath中找到db.properties,要移动到main/resources目录
    static{
        ResourceBundle rb = ResourceBundle.getBundle("db");
        driverClass = rb.getString("driverClass");
        url = rb.getString("url");
        username = rb.getString("username");
        password = rb.getString("password");

        //1.注册驱动   参数写入
        try {
            Class.forName(driverClass);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }


    //2.获得连接   参数写入
    public static Connection getConnection() throws SQLException {

        Connection conn = DriverManager.getConnection(url, username, password);
        return conn;
    }

}

db.properties 数据库参数配置文本

//配置文件不能有多余空格
driverClass=com.mysql.jdbc.Driver  
//错误:driverClass,必须和调用的地方名字写对,写错了找了半天bug
url=jdbc:mysql://localhost:3306/testcopy
username=root
password=root
kingsirvince
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
25.jdbc-PreparedStatement接口执行sql的代码例子
yun1996的博客
07-10 170
PreparedStatement vs Statment 1)语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql 2)效率不同: PreparedStatement可以使用sql缓存区,效率比Statment高 3)安全性...
使用PreparedStatement执行sql语句
LFSenior
03-29 4975
使用PreparedStatement执行sql语句 public class Demo1 { /** * 增加 */ @Test public void testInsert() { Connection conn = null; PreparedStatement stmt = null; try { //1.获取连接 conn = JdbcUtil.
java基础巩固---jdbc接口PreparedStatement执行sql语句
啊哈程序
12-08 3124
PreparedStatement执行sql语句          public class Demo1 {       /**      * 增加      */     @Test     public void testInsert() {        Connection conn = null;        PreparedStateme
JAVA-JDBC: (2) 数据库的粗略的CRUDSQL注入问题
ManagementAndJava的博客
05-28 752
1. 数据库的CRUD操作 对数据的增删改查操作变化最大的莫过于对SQL语句的改变、首先我们简单的看下ORACLE中增删改查的SQL语句的简单写法: 1.1 C (Create) 对应 oracle中的 insert语句。 (1)、所有字段都插入: insert into student values('A001','张三','男','01-5月-05',10); 注释: oracl
JDBC事务与连接池学习(2)
Amber_Flying的博客
08-31 178
JDBC 今日笔记 批处理 插入大量数据时,建议使用批处理来做 statement.addBatch();//添加批处理,先将数据缓存起来 statement.executeBatch();//执行批处理 statement.clearBatch();//清空缓存 JDBC 调用存储过程和自定义函数 CallableStatement 调用存储过程 {call <procedu...
Python操作mysql数据库实现增删查改功能的方法
09-09
在Python编程中,与MySQL数据库进行交互是常见的需求,特别是在数据处理和Web开发中。...在实际项目中,还应考虑错误处理、性能优化以及安全性等问题,比如使用预编译的SQL语句(PreparedStatement)防止SQL注入攻击。
java增删查改代码生成器.zip
06-10
生成的代码可能包含预编译的PreparedStatement对象,以防止SQL注入攻击,并提高性能。此外,它还可能使用批处理操作来提高大量数据插入或更新的效率。 Oracle数据库虽然没有在标题和描述中明确提到,但它也是支持...
java编写数据库实现简单增删查改以及分页
02-18
本示例通过Java实现了对数据库的简单增删查改CRUD)以及分页功能,这在实际项目中非常常见。以下是对这些概念的详细解释: **1. 数据库连接** 首先,Java程序与数据库交互通常依赖于JDBC(Java Database ...
mvc 实现 sql数据库的增删查改
09-17
- **安全性**:防止SQL注入攻击,对用户输入进行验证和转义,或使用PreparedStatement的预编译特性。 - **事务管理**:对于涉及多条数据库记录的操作,考虑使用事务以确保数据一致性。 - **设计模式**:在大型项目中...
javaweb增删查改功能实现
最新发布
08-30
在JavaWeb开发中,"增删查改"(CRUD:Create、Read、Update、Delete)是基础且核心的功能,涵盖了数据库操作的主要方面。这里我们将深入探讨如何在JavaWeb环境中实现这些功能。 首先,让我们从"创建"(Create)开始...
SQL注入问题&&PreparedStatement
详情请看注释
11-27 831
SQL注入问题 我们来看账号登录程序(点击)的代码,我们表中的数据为: 我们运行输入如下数据: 竟然运行成功了。 我们思考,上面输入的数据用户名一看就是瞎写的,但是密码看起来貌似和很有章法,or 和单引号都容易让我们想到sql语句中的判断语句 所以我们观察代...
对PreparedStatement预编译功能的详解
m0_74570541的博客
05-10 933
对PreparedStatement预编译功能的详解
PreparedStatement类详解以及案例
东方
12-04 4706
一:jdbc (1) 注册驱动 (2)获得链接: (3)获得sql 容器: Statement : (4)执行sql 语句: (5)查询操作, 需要遍历结果集: (6)关闭资源: Statement: 存在的弊端, 可以被sql 注入: 所以实际开发是不在地用的 ** PreparedStatement: 类: ** 作用: (1)带有预编译的功能: (2)效率高: (3)防止sql 注入: 传统...
Preparedstatement的使用
Garson的博客
11-01 753
如何使用PreparedStament以及PreparedStatment和Statement的区别
Java操作数据库(二,SQL注入与PreparedStatement)
weixin_47514459的博客
12-07 3358
JDBC入门https://blog.csdn.net/weixin_47514459/article/details/121719450 小编相信,通过对上文的阅读,让各位对jdbc(Java对数据库的操作)已经有一定的认识,下面我们就来看看SQL注入问题与PreparedStatement(对数据库的增删查改)的内容吧! SQL注入 PreparedStatement ...
myeclipse在PreparedStatement ptmt = conn.prepareStatement(sql);莫名报空指针错误
andongjike2351的博客
08-23 1365
  原因可能是在得到conn的时候出问题,可以通过以下语句解决      同时还犯了一个低级错误,没有将mysql-connector-java-xxx.jar加到C:\Program Files\Java\jdk1.8.0_131\jre\lib\ext路劲里,导致程序报No suitable driver found for jdbc的错误 转载于:https://...
SQL语句(statement)预处理(preparedStatement)
oneSeekers的博客
10-19 2976
javaweb中sql语句的预处理 预处理也叫预编译。本来sql每执行一条sql语句,就需要对这条sql语句进行编译,然后执行。预编译采用sql模版。只需要在第一次使用时编译一次。后面传参数调用就可以了。 预处理代码如下: try{ Connection con = DriverManager.getConnection(props.getProperty("url"),pro
PreparedStatement接口,prepareStatement方法
he_hchx的专栏
04-26 8458
1、public interface PreparedStatementextends Statement表示预编译的 SQL 语句的对象。 SQL 语句被预编译并且存储在 PreparedStatement 对象中。然后可以使用此对象高效地多次执行该语句。 注:用来设置 IN 参数值的 setter 方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类型兼
javamysql增删查改
06-01
Java 可以通过 JDBC 连接 MySQL 数据库进行增删查改操作,以下是它们的具体介绍: 1. 增加(INSERT):将新...以上是 Java 对 MySQL 数据库进行增删查改操作的基本介绍,使用时需要注意 SQL 语句的书写和参数的设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值