JDBC 防止SQL注入

最新推荐文章于 2022-10-03 19:52:33 发布
最新推荐文章于 2022-10-03 19:52:33 发布
阅读量293 收藏
点赞数
分类专栏: 学习笔记-JDBC 文章标签: java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52376209/article/details/119307658
版权

sql语句参数化,防止sql注入

创建命令发送器(prepareStatement)

在选择命令发送器时,不再使用createStatement,而是使用prepareStatement

在建立连接后,先写好sql语句,使用?占位

        //1.注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2.建立连接
        Connection connection = DriverManager.getConnection(url, user, password);
        //3.准备sql
        String sql ="insert into urls values(null,?,?,?)";
        //创建命令发送器
        PreparedStatement preparedStatement = connection.prepareStatement(sql);

 填充数据

通过setXXX方法填充占位的数据,下标从一开始,第一个参数数字1代表第一个位置,第二个参数是要填充的内容,以此类推。 

        preparedStatement.setObject(1,"测试");
        preparedStatement.setObject(2,"测试1");
        preparedStatement.setObject(3,"测试2");

执行sql 获取结果 关闭资源

        int i = preparedStatement.executeUpdate();
        //打印结果
        System.out.println(i);
        //关闭资源
        preparedStatement.close();
        connection.close();

 与statement不同的是,prepareStatement在创建时要传入sql语句参数,在使用executeUpdate时不用再传参。

完整代码

    @Test
    public void test01() throws ClassNotFoundException, SQLException {
        //1.注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2.建立连接
        Connection connection = DriverManager.getConnection(url, user, password);
        //3.准备sql
        String sql ="insert into urls values(null,?,?,?)";
        //创建命令发送器
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //填充数据
        //setObject(第几个?从1开始,sname);
        preparedStatement.setObject(1,"测试");
        preparedStatement.setObject(2,"测试1");
        preparedStatement.setObject(3,"测试2");
        //执行sql,获取结果
        int i = preparedStatement.executeUpdate();
        //打印结果
        System.out.println(i);
        //关闭资源
        preparedStatement.close();
        connection.close();

    }

超会写BUG的小凌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JDBC如何防止SQL注入
qf2019的博客
08-25 2176
JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 224
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
JdbcTemplate防止sql注入攻击的源码解析
阿呆的专栏
09-04 9896
概述 使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。 会发生sql注入的查询 query(String sql, RowMapper<T> rowMapper) 源码解析 @Override public <T> List<T> q...
JDBC防止SQL注入原理
hellozhxy的博客
05-11 1337
一、基本解釋 1.JDBCJava DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
JDBC防止SQL注入加强
qq_51178489的博客
07-14 82
package com.chu.first; import java.sql.*; public class JDBC2 { public static void main(String[] args) throws SQLException { // Connection con; //不用try catch时不用放出来 // PreparedStatement pst; //注意这里有prepare 'd' Sta
数据库基础面试题-JDBC防止SQL注入的对象
songfelicity的博客
07-27 713
5.JDBC中,可以使用哪个对象来防止SQL注入? A. Statement B. SQLStatement C. PreparedStatement D. MySQLStatement 正确答案是:C 数据库基础面试题-高级32题
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 1017
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4928
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBCsql注入
PP东博客
08-22 703
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:JavaJDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
JDBC 将数据库字段映射实体类中
m0_52376209的博客
08-03 2692
实体类 public class Urls { private long id; private String province; private String city; private String url; @Override public String toString() { return "Urls{" + "id=" + id + ", province='"
JDBC 连接MySQL jar包依赖导入
m0_52376209的博客
08-02 1800
笔记-仅供参考 第一步 下载driver 首先需要下载jdbc driver的jar包,这里使用的是MySQL80的版本,使用的是官网最新的jar包 为了方便下载,在这里分享个网盘 第二步 添加依赖 下载好driver的jar包后,要添加到项目依赖,才能使用。 依次打开: 文件=》项目结构=》模块=》选择要当前要导入的模块=》点击加号=》选择jar或目录的选项=》找到下好的驱动文件=》应用即可。 ...
JDBC 查询数据
m0_52376209的博客
08-02 1107
在增删改时,使用的是executeUpdate方法,而查询数据时,则是使用executeQuery方法来完成 executeQuery会返回一个结果集,通过遍历结果集来获取数据。 ResultSet resultSet = statement.executeQuery(sql); 通过resultSet.next()的返回结果来判断是否是最后一条数据 通过while遍历 while (resultSet.next()){ Object
JDBC MySQL开启事务
m0_52376209的博客
08-02 346
通过控制事务,达到数据更新的一致性 @Test public void test01(){ //事务 /* connection.setAutocommit(false); connection.rolLback( );//回滚 connection.lommit();//提交 */ String url="jdbc:mysql://localhost:3306/kanfa
jdbc怎么防止sql注入
最新发布
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超会写BUG的小凌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值