编译预处理机制(SQL注入问题解决原理)

最新推荐文章于 2024-05-27 20:01:33 发布
最新推荐文章于 2024-05-27 20:01:33 发布
阅读量2.5k 收藏 8
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lf1949/article/details/123709190
版权

预编译处理 SQL注入 JDBC PreparedStatement 安全编程
关键词由CSDN通过智能技术生成

编译预处理

预编译

首先,什么时编译预处理机制? 字面理解就是预先进行编译
那么,预编译处理机制有什么用? 可以解决SQL注入问题
那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格

内容讲解及代码展示

了解什么时预编译和sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译和sql注入
大家可以预先了解
jdbc上手(上)
jdbc上手(下)
首先,先回顾一下jdbc步骤

  1. 加载连接数据库驱动
  2. 与数据库建立连接
  3. 生成与数据库对话的对象
  4. 与数据库进行对话
  5. 收尾

然后,看一下没有预编译的效果

原理:通过jdbc与数据库建立连接,当我们输入用户名及密码时,在数据库进行校验,如果数据库有这条记录即为登录成功,否则为登录失败
数据库表
在这里插入图片描述

import java.sql.*;
import java.util.Scanner;

public class jdbctest {
    public static void main(String[] args) throws SQLException {
        Scanner scanner=new Scanner(System.in);
        //1加载驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            System.err.println("驱动加载失败!!!");
            e.printStackTrace();
        }
        //2建立与数据库连接
        Connection conn=null;
        try {
            conn= DriverManager.getConnection("jdbc:mysql://localhost:33060/mytest","root","Root");
        } catch (SQLException e) {
            System.err.println("数据库连接建立失败!!!");
            e.printStackTrace();
        }
        //3根据连接生成与数据库对话的对象
        Statement stmt=null;
        try {
            stmt=conn.createStatement();
        } catch (SQLException e) {
            System.err.println("生成与数据库对话的对象失败!!!");
            e.printStackTrace();
        }

        //4与数据库进行对话
        ResultSet res=null;
        while(true){
            System.out.println("请输入用户名和密码!!");
            String username=scanner.next();
            String userpwd =scanner.next();
            String execuetquery=" select * from users where nuername='"+username+"' and userpwd='"+ userpwd +"' ";


                res=stmt.executeQuery(execuetquery);


                if (res.next()){
                    System.out.println("登录成功!!");
                    System.out.println("您的账户为:"+res.getObject("nuername")+"您的密码为:"+res.getObject("userpwd"));
                    break;
                }else{
                    System.out.println("登录失败!!");
                }


        }


        //5收尾
        if (res!=null){
                res.close();
        }
        if (stmt!=null) {
                stmt.close();
        }
        if (conn!=null) {
                conn.close();
        }
    }
}

在这里插入图片描述
在我们的数据库中只有两条记录,所以正常情况下只有用户名和密码与这两条记录中的一条符合时才会显示登录成功,但是,这个是后就会出现sql注入问题,大家看下面的截图!
在这里插入图片描述
我随便输入了一个用户名,输入的密码在数据库中也没有记录,但是却登录成功,这样就出现了sql注入漏洞
下面,我为大家详细解释sql注入漏洞

利用SQL语句的字符串拼接过程将(OR 永真条件)强行注入到原查询SQL中,导至原有查询条件全部失效
的处理手法。
例如:String querySQL = "SELECT * FROM Users WHERE username='"+userName+"' AND
userpwd='"+userPwd+"'";
正常应输入正确的用户名和密码即可组合成正确的查询语句,效果如下:SELECT * FROM Users
WHERE usernane='admin' AND userPwd='admin';
如发生SQL注入漏洞处理,则输入的信息可能为('OR'1'='1),
最终注入效果如下:SELECT * FROM Users WHERE usernane='errorname' AND
userPwd='errorpwd'OR'1'='1';

下面给大家展示具有预编译处理的代码(只是在第3-5步与上面的代码有差异):

import java.sql.*;
import java.util.Scanner;

public class jdbctest2 {
    public static void main(String[] args) throws SQLException {
        Scanner scanner=new Scanner(System.in);
        //1加载驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            System.err.println("驱动加载失败!!!");
            e.printStackTrace();
        }
        //2建立与数据库连接
        Connection conn=null;
        try {
            conn= DriverManager.getConnection("jdbc:mysql://localhost:33060/mytest","root","Root");
        } catch (SQLException e) {
            System.err.println("数据库连接建立失败!!!");
            e.printStackTrace();
        }

        //3根据连接生成与数据库对话的支持预编译处理的对象
        String Query="select * from users where nuername=? and userpwd=?"; //用?代替要填入的内容
        PreparedStatement pstmt=null;
        pstmt=conn.prepareStatement(Query);
        pstmt.setObject(1,"");

        //4与数据库进行对话
        ResultSet res=null;
        while(true){
            System.out.println("请输入用户名和密码!!");
            String username=scanner.next();
            String userpwd =scanner.next();

            pstmt.setObject(1,username);
            pstmt.setObject(2,userpwd);


            res=pstmt.executeQuery();


            if (res.next()){
                System.out.println("登录成功!!");
                System.out.println("您的账户为:"+res.getObject("nuername")+"您的密码为:"+res.getObject("userpwd"));
                break;
            }else{
                System.out.println("登录失败!!");
            }


        }


        //5收尾
        if (res!=null){
            res.close();
        }
        if (pstmt!=null) {
            pstmt.close();
        }
        if (conn!=null) {
            conn.close();
        }
    }
}

在生成对象时,生成的是支持预编译的对象,用?代替内容进行预编译,然后用户输入的信息就不会参与到之前的sql语句中。这样就起到了预编译预防sql注入的作用!!

我的大男子主义
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
本文将深入探讨PHP防止SQL注入的小技巧,特别是通过SQL预处理原理和实现方法。 SQL预处理是一种在执行SQL语句前先编译其结构的方法,将查询的逻辑结构与动态参数分开。这样,参数的值在单独的步骤中传递,从而...
使用PDO防sql注入原理分析
09-09
PDO提供了一种安全的方式来执行SQL查询,通过预处理语句和绑定参数,有效地防止了SQL注入。 描述中提到,PDO的预处理语句是防止SQL注入的关键。预处理语句在执行之前会被解析和编译,参数则在执行时动态插入,这...
SQL预编译原理
AoaNgzh的博客
05-04 817
通过SQL预编译,可以减少SQL语句的解析和编译时间,提高数据库的执行效率。此外,SQL预编译还可以防止SQL注入攻击,因为预编译的过程会对SQL语句和参数进行严格的类型检查和转换,使得攻击者无法通过注入恶意代码来破坏SQL语句的结构和语义。SQL预编译是一种常见的数据库优化技术,其基本原理是将SQL语句和参数分开处理,先将SQL语句编译成一种中间形式,再将参数值与编译后的SQL语句进行动态绑定,最终生成可以直接执行的SQL语句。客户端向数据库发送预编译请求,其中包含SQL语句和参数列表。
sql 预编译 & 防止sql注入
梦~'
10-10 3939
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译编译后的执行代码被缓存下来,那么下次调用时只要是相...
SQL预处理语句
最新发布
h1008685的博客
05-27 402
定义了一个SQLINSERT语句,目的是将数据插入到login.login_tables表中使用prepare()方法准备SQL语句,使其准备好接受参数。bind_param("si", $name, $passwd);方法绑定了两个参数调用execute()方法执行预处理语句。通过var_dump($end);打印execute()方法的返回值,以验证插入操作是否成功。最后,函数尝试关闭预处理语句和数据库连接
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 879
语法树的建立?模糊查询又如何实现预编译
预编译以及为什么预编译可以防止sql注入
weixin_44717588的博客
03-15 4324
预编译 什么是预编译? 预编译就是做一些代码文本的替换工作,是整个编译过程最先做的事情. 比如有一个语句: 我可真是太##了! 预编译就是对#进行替换,我换成漂亮,则变成:我可真是太漂亮了! 其实就是在代码运行之前,对代码进行一些处理. 为什么预编译能够防止sql注入? 我们先来看一个例子,通俗的理解一下预编译的注入: 使用sql拼接:"select * from user where username = ’ " + name + " ’ "; 页面上可能会有个输入框:用户名:______________
SQL注入详解(扫盲篇)
09-09
总之,SQL注入是开发人员必须重视的安全问题。通过理解其原理、攻击手段和防御策略,我们可以提高应用程序的安全性,保护用户数据不受侵害。对于初学者来说,搭建靶机环境进行实战演练是提升理解和技能的有效方法,...
利用SQL注入漏洞登录后台的实现方法
12-15
1. **SQL注入的基本原理**: SQL注入的步骤主要包括寻找注入点、构造SQL语句、发送到数据库、执行并获取结果。攻击者通常会在用户输入字段中插入额外的SQL命令,例如在登录界面的用户名或密码字段中。例如,如果...
预编译sql注入
weixin_54855337的博客
12-05 2845
预编译sql注入
20. go之sql预处理使用及SQL注入问题
weixin_43893483的博客
12-30 1703
1. 使用场景:批量执行sql语句,可以提高查询速度 package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "time" ) var db *sql.DB func initMySQL()(err error){ dsn := "root:root@tcp(127.0.0.1:13306)/go_test" //去初始化全局的db对象,而不是新声明一个变量 db,err = sql.Open.
JavaWeb篇之二------sql注入原理解决方法(预编译
qq_42077566的博客
10-17 478
引言 在上一篇最末,我展示了sql注入现象,接下来我们来探究sql注入的本质原理 Sql注入解决方法 我们打个断点,debug调试一下(不清楚代码的可以看上一篇) 我们可以看到“泊进之介”和“or ‘1’=‘1’”被拼接在一起作为s2对象 而最后的sql查询语句就变成了 “select * from KamenRider where ridername=‘Driver’ and use...
预编译SQL注入
weixin_50968698的博客
09-23 952
预编译SQL注入
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2682
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
使用预处理防止sql注入
cpy1356140308的博客
05-03 386
使用预处理语句(Prepared Statement)是一种有效的方法来防止SQL注入攻击。预处理语句将SQL查询或更新语句与参数分开处理,确保参数的值不会被解释为SQL代码的一部分。通过使用预处理语句,SQL查询或更新语句中的参数将被视为纯粹的数据值,而不会被解释为SQL代码的一部分。方法创建一个预处理语句。在创建预处理语句时,将SQL查询或更新语句作为参数传递给该方法。如果是更新语句,可以通过返回的受影响行数来判断操作是否成功。方法的参数类型取决于相应参数的数据类型。执行查询或更新:使用预处理语句的。
MySQL的预处理技术
weixin_34019144的博客
05-06 274
所谓的预处理技术,最初也是由MySQL提出的一种减轻服务器压力的一种技术! 传统mysql处理流程 1, 在客户端准备sql语句 2, 发送sql语句到MySQL服务器 3, 在MySQL服务器执行该sql语句 4, 服务器将执行结果返回给客户端 这样每条sql语句请求一次,mysql服务器就要接收并处理一次,当一个脚本文件对同一条语句反复执行多次的时候,mysql服务器压力会...
什么是预处理?防SQL注入原理?使用预处理防止被恶意注入
Jin_Xiang123的博客
11-29 1400
⭐ 前言 ⭐本篇文章主要介绍什么是预处理?防sql注入原理?使用预处理防止SQL被恶意注入简单知识以及部分理论知识 SQL注入是指攻击者通过在Web应用程序中注入恶意SQL代码,从而导致数据库执行恶意的SQL语句。为了防止SQL注入,可以采用以下原理: 在以上示例中,使用了 ' 任意值 ' or '1'='1' 的方法恶意注入了SQL语句,恶意用户输入 '任意值' or '1'='1',进行对SQL语句注入 从而影响最终结果。
彻底搞懂MyBaits中#{}和${}的区别
热门推荐
緑水長流*z
07-11 2万+
MyBatis的`#{}`之所以能够预防SQL注入是因为底层使用了`PreparedStatement`类的`setString()`方法来设置参数,此方法会获取传递进来的参数的每个字符,然后进行循环对比,如果发现有敏感字符(如:单引号、双引号等),则会在前面加上一个`'/'`代表转义此符号,让其变为一个普通的字符串,不参与SQL语句的生成,达到防止SQL注入的效果。 **其次`${}`本身设计的初衷就是为了参与SQL语句的语法生成**,自然而然会导致SQL注入问题(不会考虑字符过滤问题)。
PDO预处理能防止SQL注入
06-02
是的,PDO预处理可以有效地防止SQL注入预处理是一种在执行SQL语句之前先将SQL语句和参数分离的机制。在分离后,PDO会将SQL语句和参数分别发送到数据库,从而避免了SQL注入攻击。 使用PDO预处理的方式,可以将输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我的大男子主义

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值