java jdbc连接数据库以及sql注入演示与防止

最新推荐文章于 2024-08-12 21:26:50 发布
最新推荐文章于 2024-08-12 21:26:50 发布
阅读量461 收藏
点赞数
文章标签: mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmsnice/article/details/108600722
版权

jdbc连接数据库

一、无法防止sql注入

package com.jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

import com.sun.java_cup.internal.runtime.Symbol;


/**
 * 使用jdbc连接数据库
 * @author Administrator
 *
 */
public class UseJdbc {
	public static void main(String[] args) throws ClassNotFoundException, SQLException {
//		Driver driver = null;
//		1、加载驱动
		Class.forName("com.mysql.jdbc.Driver");
//		DriverManager.registerDriver(driver);
//		2、获取数据库连接对象
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db1","root","root");
//		3、获取执行sql语句的对象
		Statement statement = conn.createStatement();//不能防止sql注入
//		4、执行sql语句
		//4.1增删改操作,以删除为例
		String sqlDelete = "delete from student where id = 4";
		int i = statement.executeUpdate(sqlDelete);//返回值类型为int表示数据库中受影响条数
		System.out.println("sql删除语句受影响数据条数="+i);
		//4.2查询操作
		String sqlSelect = "select * from student";
		ResultSet resultSet = statement.executeQuery(sqlSelect);//返回值类型为结果集(结果集内存了查询结果)
//		5、解析结果集(只有执行查询操作才需要)
		while(resultSet.next()) {
			System.out.println("id="+resultSet.getInt(1)+" name="+resultSet.getString(2)+" age="+resultSet.getString(3)+" sex="+resultSet.getString(4));
		}
		
//		sql注入演示,通过名称查询学生
		System.out.println("请输入学生姓名:");
		Scanner scanner = new Scanner(System.in);
		String name = scanner.nextLine();
		String sql = "select * from student where name='"+name+"'";
		System.out.println(sql);
		resultSet=statement.executeQuery(sql);
		while(resultSet.next()) {
			System.out.println("id="+resultSet.getInt(1)+" name="+resultSet.getString(2)+" age="+resultSet.getString(3)+" sex="+resultSet.getString(4));
		}
//		6、释放资源
		resultSet.close();
		statement.close();
		conn.close();
	}
}

运行结果:
在这里插入图片描述通过结果可以看到,本来想要输入一个用户名查询到一个用户信息,但是由于输入的是:张三’ or ‘1’='1;通过拼接后将要执行的sql语句是:select * from student where name=‘张三’ or ‘1’=‘1’。条件是恒真的,所以就会获取到所有所有用户的信息。如果使用在用户登录的时候,用户在密码后面添加一些语句使得恒真,那么将可以使用任意密码登录。

二、如何解决sql注入问题:
获取执行sql语句对象的时候不适用Statement而是使用PreparedStatement;
使用方法:

//		3、获取执行sql语句的对象
		String sql = "select * from student where name = ?";//其中问号为占位符
		PreparedStatement preparedStatement = conn.prepareStatement(sql);
		System.out.println("请输入学生姓名:");
		Scanner scanner = new Scanner(System.in);
		String name = scanner.nextLine();
		preparedStatement.setString(1, name);//给占位符赋值,其中第一个参数为第几个占位符,第二个参数为占位符的值
		System.out.println(sql);
		ResultSet resultSet=preparedStatement.executeQuery();//执行语句
		while(resultSet.next()) {
			System.out.println("id="+resultSet.getInt(1)+" name="+resultSet.getString(2)+" age="+resultSet.getString(3)+" sex="+resultSet.getString(4));
		}
//		6、释放资源
		resultSet.close();
		preparedStatement.close();
		conn.close();

再用相同的方法测试sql注入,会发现sql注入无法成功。

lmsnice
关注
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 256
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
Java-JDBC防止SQL注入攻击
yy310585的博客
01-29 281
Java-JDBC防止SQL注入攻击 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 例如 我们在JDBC中写的验证用户登录的方法是直接使用Statement执行的,那么SQL语句就是直接使用字符串拼接的形式"select * from account where username ='"+username+"' and passwo
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 625
SQL注入(SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
jdbc java数据库连接 8)防止sql注入
dielunyuan5091的博客
10-31 144
回顾下之前jdbc的开发步骤:   1:建项目,引入数据库驱动包   2:加载驱动     Class.forName(..);   3:获取连接对象   4:创建执行sql语句的stmt对象; 写sql   5:执行sql     a)更新 delete/insert/update       !:executeUpdate();     b)...
通过jdbc使用PreparedStatement,提升性能,防止sql注入
weixin_33827731的博客
12-20 148
为什么要使用PreparedStatement? 一、通过PreparedStatement提升性能      Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。     某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparedStatement。PreparedStat...
java,jdbc防止sql语句注入小demo
小宇学Java
06-23 168
demo没有防sql注入机制加入防sql注入机制 没有防sql注入机制 package com.bjpowernode.jdbc; import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class JDBC { public static void main(String[] args) { //初始化界面 Map<Str
Java工程通过JDBC连接数据库方法(SQL Server)
12-24
- 防止SQL注入:在处理用户输入时,应使用PreparedStatement而不是Statement,因为它允许预编译SQL语句,从而减少SQL注入的风险。 - 错误处理:在实际应用中,应使用try-catch-finally结构妥善处理可能出现的异常...
sql-injection-demo:这是使用Java EE和Oracle数据库进行SQL注入演示
05-04
回到这个"sql-injection-demo"项目,它可能包含了创建数据库、模拟易受攻击的应用程序以及展示如何利用和防御SQL注入的代码示例。在/database/emp.csv文件中,可能存储了用于演示的员工数据,可以通过CSV导入到...
jdbc_demo:使用JDBC连接数据库的简单演示
06-20
**JDBCJava Database Connectivity)**是Java编程语言中用于规范客户端程序如何访问数据库的应用程序接口,它提供了标准的API让Java程序员能够连接到各种不同的数据库。本教程将深入讲解如何使用JDBC连接数据库...
JAVA-JDBC连接数据库(查询-添加-修改-删除).doc
06-27
4. **PreparedStatement**:用于执行预编译的SQL语句,可以提高性能并防止SQL注入。 5. **ResultSet**:用于存储查询结果集的对象。 #### 三、实验内容解析 根据给定的实验内容,我们可以将任务分为以下几个部分:...
Java 数据库连接泄漏 解决方法
04-18
基于weblogic,应对数据库连接泄漏的解决方法; 包含临时解决方法和数据连接池泄露监控,并可追踪到某个类某行代码。
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,   那么,什么是SQL注入,以及如何防止SQL注入的问题。   一什么是SQL注入   所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多是通过WEB表单递交查询字
JAVA-JDBC之预状态通道防止SQL注入
qq_22535281的博客
04-17 201
我亦无他 唯手熟尔
JDBC及防sql注入攻击
We_chuan的博客
12-25 286
哪有什么一夜成名,都是百炼成钢 JDBC JDBCJava DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 简单地说,JDBC 可做三件事:与...
JDBC登录防sql注入
CHIhacker666的博客
10-24 204
JDBC登录防sql注入 日常表白张春凤老师! 下面是我的mysql信息: 我的mysql为5.5版本,老东西了见谅哈!mysql版本不同,connection连接的内容也不一样,这个需要注意!还有就是注意端口号,账号密码,sql语句要正确填写哦!!! 下面是sql的创建部分: CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) DEFAULT NULL, `password` v
JDBC__PreparedStatement-预防SQL注入
weixin_48841931的博客
07-25 163
SQL注入(英语SQLinjection),是发生于应用程序与数据库层的安全漏洞。简而言之,是在输入的字符串之中注入SQL指令比如我们将该SQL语句打印出来看看此时的SQL语句中的password部分变成了等于空返回false,但因为增加了or的恒等式1=1故语句整体返回为true。...
Java使用JDBC开发 之 SQL注入攻击和解决方案
2401_83412285的博客
05-11 298
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Java操作SQL数据库:连接、查询与更新
5. 预编译SQL语句:`PreparedStatement`接口用于创建预编译的SQL语句,能有效防止SQL注入攻击。在`update()`方法中可以看到它的使用,预编译的SQL语句通过`ps`对象设置参数。 6. 数据库更新:`update()`方法演示了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值