PreparedStatement能防止sql注入的原理

已于 2022-10-03 10:39:16 修改
阅读量1.4k 收藏 4
点赞数 1
分类专栏: java后端 MySQL 文章标签: PreparedStatement SQL注入 预编译 参数化查询 效率提升
于 2021-05-27 13:21:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53328194/article/details/117326568
版权 
Class.forName(com.mysql.jdbc.Driver);
Connection con = DriverManager.getConnection("jdbc:mysql://....");
Statement st = con.CreateStatement();
String id = "03";
String sq = "delete from table1 where id="+id;
st.execute(sq);

上面这段代码的本意是要删除id=03的记录,但是如果有人将id的内容改为“03 or 1=1”。
那么表中的任何记录都将被删除,后果十分严重。
而且登录界面用户可以在输入的时候加上两个冒号作为特殊字符,
这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,
造成不可估量的损失。
这是Statement的一大缺点:不能防止sql注入。
另一个缺点是,每次执行都需要重新编译sql语句,效率低下。
而PreparedStatement则解决了这些问题。

为什么PreparedStatement能防止sql注入呢?
因为sql语句是预编译的,而且语句中使用了占位符,规定了sql语句的结构。
用户可以设置"?"的值,但是不能改变sql语句的结构,
因此想在sql语句后面加上如“or 1=1”(1=1能查出全部用户)等奇怪字符串的拼接来实现sql注入是行不通的。
实际开发中,一般采用PreparedStatement访问数据库,它不仅能防止sql注入,
还是预编译的(不用改变一次参数就要重新编译整个sql语句,效率高),
此外,它执行查询语句得到的结果集是离线的,连接关闭后,仍然可以访问结果集。

征程123
关注
专栏目录
用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 699
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
在JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5404
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2615
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1142
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 471
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1292
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 377
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
Sql注入原理简介_动力节点Java学院整理
09-09
了解SQL注入原理和防范措施是保障Web应用安全的关键。 1. SQL注入的定义: SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面...
为什么说 PreparedStatement 可以防止 sql 注入
艾斯比
03-18 659
先介绍下概念 sql 注入 sql 注入: 本来是作为 sql 的某个字段值, 却变成了单独的 sql 语句被执行. 有极大的安全风险. -- # 本来是传入 name 字符串 select * from t_person where name = ? # 结果我们传入 ''; truncate table t_person2; 就会变成如下, 导致 t_person2 表被清空 # 这就是 sql 注入, 有极大安全风险 select * from t_person where name =
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5907
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 String
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 518
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1569
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
使用PreparedStatement防止SQL注入
robbinBlog
08-16 434
使用PreparedStatement防止SQL注入  (2012-04-10 16:54:39) 转载▼ 标签:  it 分类: java       Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statem
通过PreparedStatement预防SQL注入
jakelihua
11-25 630
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
preparedstatement 为什么可以防止sql注入
aochuo2007的博客
04-05 158
有大神总结的很好,,参考文献 http://www.importnew.com/5006.html preparedstatement优势:sql的预编译(数据库层面完成)提升效率. 为什么可以防止sql注入:总的来说就是占位符替换,也由此引发了in查询的占位问题, 所以面试的时候比人问你为什么,可以说出in查询的问题,别人应该能够够懂你为什么可以防止sql注入, 解决in查询...
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 304
preparement避免sql注入
prepared statement 防止sql注入
mingyangdai的专栏
10-27 1014
预编译有个类是PreparedStatement. 这个类的对象是通过参数?来传值的 例: String sql = "select * from table where id = ?"; Connection con = .....///这里得到是数据库的连接 PreparedStatement ps = con.prepareStatement(sql); ps.setInt(1,id);//
SQL参数化查询防止注入原理解析
本文将探讨为什么参数化查询能够防止SQL注入,并简述SQL执行的基本流程。" 在数据库操作中,SQL注入攻击通常是由于程序动态构建SQL语句,未对用户输入进行充分的验证或转义导致的。攻击者可以通过构造特殊的输入,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

征程123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值