用Statements和PreparedStatement防范sql注入

最新推荐文章于 2021-02-17 02:56:48 发布
最新推荐文章于 2021-02-17 02:56:48 发布
阅读量928 收藏
点赞数
分类专栏: java 文章标签: sql 持久层框架 hibernate jsp struts spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvhaipeng/article/details/2709135
版权
 标题:用Statements和PreparedStatement防范sql注入
摘要:这篇文章主要简要说明一下jsp下如何防范sql注入
难度:20

摘要:这篇文章主要简要说明一下jsp下如何防范sql注入

难度:简单

前几天朋友说他们公司的网站被人黑进去了,还居然做了一段视频放到网上,演示如何黑进去的。问他
对方如何做的,只是告诉我是通过sql注入的,下了那段视频看了看,原来这么回事
首先说明 他们公司的网站是用jsp写的而且是用最古老的方式写的(个人认为只能是用来做入门教学的
),没有用任何struts、spring、hibernate等框架。
sql注入想必大家都知道的,比如用个用户登录,那么form表单有用户名和密码
那么我提交时,在用户名输入框内 输入 “ aaa’ or ’a’=’a” 密码框随便输入,那么这样意味着 sql的
查询语言就是 “select * from 表 where 用户名=' aaa’ or ’a’='a’ and 密码='www.itstudy.cn’  ”,稍懂sql语法的大家就知道 这样的查询结果了。
那么我朋友公司网站正是在用jsp开发时 用Statement方法向数据库提交sql查询的。不被黑都怪了,实际中现在java程序员早都不用这种方式写查询了,一般都用PreparedStatement来查询 或干脆就用hibernate之类的持久层框架,这样通过sql注入就无从谈起了。
为什么呢?比较一下Statements和PreparedStatement和的执行就一目了然了(这里具体的理论解释大家网上自己查了,这里就白话文说说了)

如果有一条sql语句:
“select * frim 表 where 用户名=  ’用户名’”

Statement 的sql语句是这样写的 “select * frim  表 where  用户名= ’”+ 变量值 + “’ ”
而PreparedStatement的 sql语句是这样写的 “select * frim  表 where  用户名=?” 然后赋值于?对应

这样我们就发现 输入“aa’ or ’1’=’1”
Statement是将这个他和sql语句做字符串连接连到一起变成一个大字串 sql语句执行
PreparedStatement怎么处理呢?他是将“aa’ or ’1’=’1”作为一个字符串 赋给?做为 “用户名”字段的对应值,显然这样sql注入无从谈起了。

写到这里我们就发现 实际上很多时候被黑客攻击 不是黑客怎么厉害 ,通常都是我们的程序员只是一个简单的软件工人的缘故吧!!!

朋友是做网络的 不会java,催促我好几次让我解释一下,今天抽空一气呵成写了一小段,算是交差了(考虑安全没有具体说明网址)。
作者:吕海鹏
来自:it学习网原创
更新日志: 2008-03-15 v0.1 初稿完成;
参考文档:
致谢:
讨论网址: http://bbs.deepteach.com
标签(Tags):richyue
吕海鹏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 667
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入...
Statement和PreparedStatement --- 防止sql注入
my_momo_csdn的博客
03-13 1734
一、SQL注入 这两者的区别有好几点,比如预编译,防止sql注入是其中最大的一点,这里通过几个例子和简单的解析来探究PreparedStatement是如何防止sql注入的。 二、数据库记录如下: id playName playNo team 1 Kobe Brayent 8 laker 2 Lebron James 23 laker 3 Tim Duncan 21 ...
JDBC PreparedStatement 防止sql注入原理
风的博客
08-30 2038
JDBC PreparedStatement 防止sql注入原理 使用Statement执行查询语句的时候  :            比如要执行用户名 密码登录验证的sql语句 经常要输入 String sql =  " select * from login where name=' " +name+ " ' and pwd = ' " +pwd+ " ' ";
PreparedStatement防止sql注入原理
程宇寒
12-18 6775
PreparedStatement类是java的一个类,准确说是jdbc规范中的一个接口,各个数据库产商的实现不同(即实现类不同),今天我们就以mysql数据库来说,我已经下载了mysql数据库的驱动jar包和驱动程序的源代码. sql注入的时候,比如,有些用户就会在界面上输入anything' OR 'x'='x这种东西,最后sql语句就是如下: SELECT * FROM users WH...
以mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9778
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
SQL 数据库 注入攻击的种类和防范手段
11-06
1. **使用预编译语句(Prepared Statements)**:预编译语句能够有效防止SQL注入,因为它们将SQL语句和参数分开处理,确保了输入数据不会被解释为SQL代码的一部分。例如,在Java中使用JDBC API的`PreparedStatement`...
SQL注入分析与防范策略.pdf
最新发布
01-04
2.prepared statements:使用prepared statements,可以防止SQL注入攻击。 3. 数据加密:对敏感信息进行加密,防止攻击者获取敏感信息。 4. 访问控制:对数据库的访问权限进行严格的控制,防止攻击者访问敏感信息。 ...
PHP与SQL注入攻击[三]
10-30
预定义查询(Prepared Queries/Prepared Statements)是另一种常用的防御SQL注入的技术。它的工作原理是在执行前先定义一个SQL语句的模板,其中包含固定的结构和占位符,然后将实际的参数值插入这些占位符位置,最后...
php防止sql注入的方法详解
10-20
使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP中,可以使用PDO(PHP Data Objects)或MySQLi的预处理功能来实现。例如: ```php $...
关于sql注入的简要演示(入坑抛砖)
09-09
SQL注入是一种常见的网络安全漏洞,它发生在应用程序未能正确过滤或验证用户输入的数据时,允许攻击者插入恶意的SQL语句到应用程序的查询...学习更多关于SQL和Web开发安全的知识,可以帮助开发者构建更安全的应用程序。
Statement和PreparedStatement的区别; 什么是SQL注入,怎么防止SQL注入
weixin_33828101的博客
06-09 182
问题一:Statement和PreparedStatement的区别   先来说说,什么是java中的StatementStatement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤:   1.首先导入java.sql.*;这个包。   2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做...
statement和preparedstatement的区别以及sql注入的预防
编程,是个体力活
07-14 1677
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 恶义 SQL 语法 String sql = “select * from tb_name where name= ‘”...
预编译防止sql注入
热门推荐
mbtlami
05-17 1万+
使用PreparedStatement 怎么使用PreparedStatement?如何避免SQL注入式攻击?PreparedStatementStatement有什么区别,有什么样的优势? [TOC] JDBC连接数据库操作步骤 public class JDBCTest { public static void main(String[] args) { ...
java防sql注入 策略_java 最新sql注入原因以及预防方案(易理解)
weixin_42648844的博客
02-17 442
前沿在现有的框架sql防注入已经做得很好了,我们需要做的就是尽量不要使用sql拼接调用java sql注入原因以及预防方案(易理解)1. SQL注入1.1 原理SQL注入是通过客户端的输入把SQL命令注入到一个应用的数据库中,从而执行恶意的SQL语句。1.2 演示1.2.1 案例1有一个登录框,需要输入用户名和密码,然后我们的密码输入 'or '123' = '123 这样的。我们在查询用户名和...
PreparedStatementsql注入
宝付支的博客
12-27 155
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; import JDBC.SqlHelper; public class UserLoginDemo { ...
PreparedStatement可以防止sql注入的原因
u011649691的博客
10-15 5551
之前没深究这个问题,看其他人的回答,总结原因有: 1、PreparedStatement是预编译的 2、PreparedStatement参数不是简单拼接生成sql,而是先用?占位,之后再根据参数产生sql 但是上述原因都禁不起深究,毕竟不论是PreparedStatement还是Statement不都是最终传sql进数据库么?以上两个原因都无法避免sql注入。 深究一下,特别是查看网页 http...
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1209
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
java:PreparedStatement可以防止sql注入的原因
xlantian的博客
08-18 1万+
  java中对数据库访问的方法有多种。以操作MySql数据库为例。     方法一:创建Statement对象,调用对象的execute(String)、executeQuery(String)等函数执行String字符串的sql语句。           Class.forName(com.mysql.jdbc.Driver); //加载驱动 Connection con...
jsp+session拼图游戏原理分析
吕海鹏 in CSDN Blog
07-25 1250
 标题:jsp+session拼图游戏原理分析 摘要: 通过排字游戏学习理解session对象 难度: 通过排字游戏学习理解session对象    index..jsp   int [][] ges= new int[3][3];  int shu=0;  for (int h=0;h{      for (int l=0;l    {          ges[h][l]=
SQL注入攻击与sqlmap工具详解
"SQL注入sqlmap使用介绍" SQL注入是一种常见的网络安全漏洞...理解SQL注入的原理和防范措施对于任何Web开发者来说都至关重要,而sqlmap等工具则为安全评估提供了便利。确保正确处理用户输入,是防止SQL注入的根本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值