JDBC连接数据库(预防SQL注入)

最新推荐文章于 2024-06-12 11:59:04 发布
最新推荐文章于 2024-06-12 11:59:04 发布
阅读量159 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51791413/article/details/131859307
版权

SQL注入:SQL注入是通过操作输入来修改事先定义好的SQL语句,用以达到执行代码对服务器进行攻击的方法。

代码模拟SQL注入问题(登录时用户名我们可以随便写,密码写一些特定字符串)
@Test
public void testLogin() throws  Exception {
    //2. 获取连接
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "sjdljfld";
    String pwd = "' or '1' = '1";
    String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";
    // 获取stmt对象
    Statement stmt = conn.createStatement();
    // 执行sql
    ResultSet rs = stmt.executeQuery(sql);
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    stmt.close();
    conn.close();
}

上面代码是将用户名和密码拼接到sql语句中,拼接后的sql语句如下:

select * from tb_user where username = 'sjdljfld' and password = ''or '1' = '1'

从上面语句可以看出条件 username = 'sjdljfld' and password = '' 不管是否满足,而 or 后面的 '1' = '1' 是始终满足的,最终条件是成立的,就可以正常的进行登陆了。

解决方法:

使用PreparedStatement对象替换Statement对象。

PreparedStatement作用:预编译SQL语句并执行:预防SQL注入问题。

获取 PreparedStatement 对象:

// SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and password = ?";
// 通过Connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.prepareStatement(sql);

  • 设置参数值

    上面的sql语句中参数使用 ? 进行占位,在执行之前肯定要设置这些 ? 的值。

    PreparedStatement对象:setXxx(参数1,参数2):给 ? 赋值

    • Xxx:数据类型 ; 如 setInt (参数1,参数2)

    • 参数:

      • 参数1: ?的位置编号,从1 开始

      • 参数2: ?的值

  • 执行SQL语句

    executeUpdate(); 执行DDL语句和DML语句

    executeQuery(); 执行DQL语句

    注意:

    • 调用这两个方法时不需要传递SQL语句,因为获取SQL语句执行对象时已经对SQL语句进行预编译了。

使用使用PreparedStatement对象替换Statement对象后,执行上面语句就可以发现不会出现SQL注入漏洞问题了。那么PreparedStatement又是如何解决的呢?它是将特殊字符进行了转义,转义的SQL如下:

select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'

PreparedStatement原理:

Java代码操作数据库流程如图所示:

 

  • 将sql语句发送到MySQL服务器端

  • MySQL服务端会对sql语句进行如下操作

    • 检查SQL语句

      检查SQL语句的语法是否正确。

    • 编译SQL语句。将SQL语句编译成可执行的函数。

      检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

    • 执行SQL语句

PreparedStatement 好处:

  • 预编译SQL,性能更高

  • 防止SQL注入:将敏感字符进行转义

开启预编译功能步骤:

1.添加参数:在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能,只是解决了SQL注入漏洞。

 useServerPrepStmts=true
// 获取连接:
// useServerPrepStmts=true 参数开启预编译功能
String url = "jdbc:mysql:///db1?useSSL=false&useServerPrepStmts=true";
String username = "root";
String password = "1234";
Connection conn = DriverManager.getConnection(url, username, password);

2.配置MySQL执行日志(重启mysql服务后生效):在mysql配置文件(my.ini)中添加如下配置。

log-output=FILE
 general-log=1
 general_log_file="D:\mysql.log"
 slow-query-log=1
 slow_query_log_file="D:\mysql_slow.log"
 long_query_time=2

小结:

1.在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)。

2.执行时就不用再进行这些步骤了,速度更快。

3.如果sql模板一样,则只需要进行一次检查、编译。

积硅步_成千里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
在使用jdbc的时候,如何止出现sql注入的问题
qq_65951398的博客
05-30 1419
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
如何保护 JDBC 应用程序免受 SQL 注入
allway2的博客
07-22 390
用SQL编写的查询语句用于操作数据库的内容和结构。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。这可以SQL注入攻击的根本原因,因为在SQL注入,其想法是混合代码和数据,其数据实际上是伪装成数据的代码的一部分。...
Mysql优化安全】sql注入
weixin_44823875的博客
05-20 6023
Mysql安全】sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
JDBC连接如何SQL注入
lucyLee的博客
10-07 4775
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
javaJDBCsql注入
程金鹏(程利鹏)
12-19 3904
文章目录一、JDBC概述二 、JDBC 原理三、JDBC 开发步骤【myeclipse】2) 注册驱动 一、JDBC概述 JDBCJavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。 JDBC是一种用于执行SQL语句的 java api。 JDBC可以为多种关系数据库提供统一访问入口。 JDBC由一组Java工具类和接口组成...
mysqljdbc连接数据库sql注入的问题
bighuan的博客
03-09 1396
一,概述 可能是自己的记忆力太差了,经常忘记一些很重要的知识点,记得个大概,等要用的时候就去找,结果还找不到。干脆,记博客里,怎么都找的到。这篇博客主要就是关于Jdbc(java database connectivity)和MySql的,记录如何连接数据库及插入数据等等。 二,工具及准备工作 MyEclipse10,mysql驱动jar包(我用的是这个版本mysql-connect
使用JDBC连接数据库执行sql语句,创建数据库连接池
qq_48475590的博客
09-25 1343
JDBC的三步操作:1、加载驱动 2、连接数据库 3、获取执行对象
JDBC连接数据库
热门推荐
m0_74890428的博客
11-23 1万+
JDBC 就是使用Java语言操作关系型数据库的一套API。全称:( Java DataBase Connectivity ) Java 数据库连接, JDBC好处:各数据库厂商使用相同的接口,Java代码不需要针对不同数据库分别开发可随时替换底层数据库,访问数据库的Java代码基本不变。
JDBC如何有效SQL注入
12-14
在我们平时的开发,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,  那么,什么是SQL注入,以及如何SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
JAVA代码审计之SQL注入
06-14
1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate...
测试JDBC与数据库建立连接
07-27
测试JDBC与数据库的连接以及SQL注入
jdbc连接和sql注入
06-13
java连接mysql,和mysql语句注入检查,简单程序,需要自己提供数据库
JDBC&Druid数据库连接池
06-05
SQL注入是一种常见的安全漏洞,攻击者可以通过Inject恶意SQL语句来访问或修改数据库的数据。例如,攻击者可以输入用户名和密码为`' or '1'= '1`,导致SQL语句变为`select * from tb_user where username = '' or '...
简单的项目部署脚本(转载)
u010230019的博客
06-09 625
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
m0_74100417的博客
06-09 1281
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 427
修改菜品——后端Java
Javascript)AI数字人mp4转canvas播放并去除背景绿幕
最新发布
lx_nhs的博客
06-12 422
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
Java02】Java数组的定义与初始化
饮冰室
06-10 525
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
【2024最新华为OD-C/D卷试题汇总】[支持在线评测] CPU算力分配(100分) - 三语言AC题解(Python/Java/Cpp)
清隆学长的博客
06-11 283
### 问题描述 K小姐是某公司运营部门的主管,最近她需要对公司的两组服务器进行算力分配。每组服务器有多个算力不同的 $CPU$,其 $A$ 组第 $i$ 个 $CPU$ 的运算能力为 $A[i]$,而 $B$ 组第 $i$ 个 $CPU$ 的运算能力为 $B[i]$。一组服务器的总算力是各 $CPU$ 的算力之和。 为了让两组服务器的算力相等,K小姐允许从每组各选出一个 $CPU$ 进行一次交换。她希望从 $A$ 组服务器选出算力尽可能小的 $CPU$ 来交换,你能帮她计算出应该选择哪两个 $CP
mysql如何sql注入
08-22
MySQL可以通过以下几种方法来SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句的风险。 2. 输入验证和过滤:对于用户输入的数据,进行必要的验证和过滤,确保输入符合预期的数据格式和类型。可以使用正则表达式、白名单过滤等方法来实现。 3. 使用编码函数和转义字符:对于需要将用户输入作为字符串插入到SQL语句的情况,可以使用编码函数(如PHP的`mysqli_real_escape_string`)或转义字符(如将单引号转义为两个单引号)对特殊字符进行转义,从而避免被误认为SQL语句的一部分。 4. 最小权限原则:为了减少攻击者利用SQL注入攻击获取敏感数据的风险,应该在MySQL使用最小权限原则。即为每个应用程序或用户提供所需的最低权限,限制其对数据库的操作范围。 5. 定期更新和维护:及时更新MySQL数据库和相关软件的补丁和升级版本,以修复已知的安全漏洞,并定期审查和维护数据库权限及用户访问控制机制。 除了以上方法,还可以使用Web应用火墙(WAF)或其他网络安全设备来监控和拦截可能的SQL注入攻击。综合采用多种护措施可以提高数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

积硅步_成千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值