Mysql及SQL注入(java代码如何解决)

已于 2022-03-06 16:38:41 修改
阅读量1k 收藏 2
点赞数
分类专栏: MySQL java 文章标签: 前端 github node
于 2020-11-27 16:59:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulang68/article/details/110237164
版权
java 同时被 2 个专栏收录
80 篇文章 1 订阅
订阅专栏
MySQL
39 篇文章 3 订阅
订阅专栏

在这里插入图片描述在这里插入图片描述

如果是Statement的话,是用"++“的方式来字符串拼接的,那么外部就可以使用”+OR+"这样拼接方式来对SQL进行注入

使用PreparedStatement防止了sql注入的原因就是因为占位符已经设置规定的字段的值你不在再拼接判断条件了

package test;

import java.sql.*;

public class MyBase {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        //第一步注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        String url="jdbc:mysql://localhost:3306/user?useUnicode=true&characterEncoding=utf-8&serverTimezone=GMT%2B8";
        String username="root";
        String password="root";
        //现在已经java和数据库进行了连接
        //这里的con就是我们和mysql进行连接成功以后返回的对象
        Connection con = DriverManager.getConnection(url, username, password);
        System.out.println(con);
        //执行以后返回的stat我就可以用它来执行sql语句
        Statement stat = con.createStatement();
        stat.executeUpdate("insert into sort(sname,sprice,sdesc) values ('编程书',20,'打折')");

        String sql="select * from sort";
        ResultSet rs = stat.executeQuery(sql);
        while (rs.next()){
            System.out.println("sid:"+rs.getInt("sid"));
            System.out.println("sname:"+rs.getString("sname"));
            System.out.println("sprice:"+rs.getDouble("sprice"));
            System.out.println("sdesc:"+rs.getString("sdesc"));
        }
        rs.close();//用来遍历数据库的对象
        stat.close();//用来执行sql语句的对象
        con.close();//用来连接数据库的对象



    }
}


package test;

import java.sql.*;
import java.util.Scanner;

public class MyBase {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        //第一步注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        String url="jdbc:mysql://localhost:3306/user?useUnicode=true&characterEncoding=utf-8&serverTimezone=GMT%2B8";
        String username="root";
        String password="root";
        //现在已经java和数据库进行了连接
        //这里的con就是我们和mysql进行连接成功以后返回的对象
        Connection con = DriverManager.getConnection(url, username, password);
        //执行以后返回的stat我就可以用它来执行sql语句
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入名字:");
        String sname=sc.next();
        System.out.println("请输入价格:");
        String sprice=sc.next();
        String str="select * from sort where sname=? and sprice=?";
        System.out.println(str);
        PreparedStatement pst= con.prepareStatement(str);
        pst.setObject(1,sname); //1表示的是第一个问号的数据为sname
        pst.setObject(2,sprice);
        ResultSet rs = pst.executeQuery(str);
        while (rs.next()){
            System.out.println("sname:"+rs.getString("sname"));
            System.out.println("sprice:"+rs.getDouble("sprice"));
        }
        pst.close();//用来执行sql语句的对象
        con.close();//用来连接数据库的对象

    }
}
前端交互仔
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mysql系列】MySQLSQL注入
weixin_54707168的博客
04-11 215
Mysql系列】MySQLSQL注入
Java代码审计】SQL注入
大河之犬的博客
12-15 1836
SQL 注入(SQL Injection)是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入 SQL 语句中,导致了 SQL 注入的产生。黑客通过 SQL 注入可直接窃取数据库信息,造成信息泄露。
MySQL for JavaSQL注入测试
加菲学Java
07-19 248
只要你学JDBC,基本上所有的人都会和你说,Statement不能防止SQL注入, PreparedStatement能够防止SQL注入. 基本上参加工作了一段时间之后还是这么认为的, 没错, 这句是没有问题的, 但到底如何进行SQL注入?怎么直观的去了解SQL注入?这还是需要花一定的时间去实验的.   前提:以下的测试都是在一种理想环境下   首先准备好数据库环境, 以下是数据库的s...
Java-Sql注入以及如何解决
最新发布
ngczx的博客
07-08 322
Javasql注入
MySQL SQL 注入
小小博客爱分享
07-29 202
本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 SQL注入可能是目前互联网上存在的最丰富的编程缺陷。 这是未经授权的人可以访问各种关键和私人数据的漏洞。 SQL注入不是Web或数据库服务器中的缺陷,而是由于编程实践较差且缺乏经验而导致的。 它是从远程位置执行的最致命和最容易的攻击之一。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到
MySQL 及 SQL 注入
KopWelkin的博客
10-09 283
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户
重新学习MySQL数据库11:以Java的视角来聊聊SQL注入
Java技术江湖
01-17 1922
Java的视角来聊聊SQL注入 转自 javatikuJava面试那些事儿2017-08-09 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来越重,在工作中接触Java的机会也越来越多,也是机缘巧合的契机,自己开始走向了偏 Java开...
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
热门推荐
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1306
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句中使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
浅谈JavaSQL注入问题
weixin_42603304的博客
03-07 2457
SQL注入什么是SQL注入Mybatis下SQL注入如何解决SQL注入 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 Mybatis下SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。 编写xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。 Java
java连接sql server数据库的代码如何改成连接mysql_连接sqlserver数据库代码
weixin_33764069的博客
01-27 1475
Sql Server的JDBC测试程序与远程连接参考文献:1.MySql与oracle的JDBC测试程序2.查看sqlserver的端口号代码示例在我的机器上安装了多个版本的sqlserver数据库,那么如何区分这两个数据库服务器呢。这就要用到前一篇博客中提到的数据库服务端口号,详细见参考2。此处端口号5419对应的是sqlserve...文章嗯哼99252017-12-271167浏览量webl...
JAVA学习笔记 MySQL8 - SQL注入
weixin_44238109的博客
03-17 358
什么是SQL注入 用户往传值的地方传递进来了SQL语句导致原有SQL语句的逻辑发生改变,从而达到一些非法目的,这个过程叫做SQL注入。 select count(*) from user where username='abcd' and password='' or '1'='1' PreparedStatement 带有预编译效果的执行SQL语句的对象。 通过此对象可以解决SQL注入的问题。 将编译SQL语句的时间点从执行时提前到了创建时, 在创建PreparedStatement
MySQLSQL注入
one-way or another
03-26 125
SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理 防止SQL注入,我们需要注意以下几个要点: 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换...
MySQLSQL注入
weixin_30426957的博客
04-20 114
MySQLSQL注入 转载于:https://www.cnblogs.com/guozepingboke/p/10742643.html
java mysql sql注入_java编程——MyBatis框架中常见的SQL注入
weixin_42528780的博客
02-01 238
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。由于它很是灵活,很是轻量级,受到广年夜开发者的欢迎,各个年夜厂也用得比较多。MyBatis框架介绍相关的内容不多说,这类文章网上很多,这里我着重介绍一下MyBatis下常见的SQL注入漏洞。写到一半发现有些概念要在前面说清楚一下,不然容易晕。MySQL:指MySQL办事器。MyBatis:指MyBatis框架。JDBC:是...
MySQL 及 SQL 注入简要介绍
TigerwolfC的博客
02-24 275
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 SQL注入概念 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。简单来说,SQL注入就是一种通过操作输入(可以是表单,可以是get请求,也可以是PO...
MySQL 及 SQL 注入与防范方法
tiandao321的专栏
06-29 397
1
SQL注入详解与防范策略
Java开发中,对SQL注入的防范至关重要。 SQL注入的产生原理在于,攻击者能够将恶意的SQL代码嵌入到正常的查询语句中。例如,一个简单的登录接口可能接收用户名和密码作为输入,然后拼接成SQL查询。如果开发者未对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值