PreparedStatement对象解决SQL注入问题----个人学习记录

最新推荐文章于 2023-06-25 11:17:23 发布
最新推荐文章于 2023-06-25 11:17:23 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: JAVA 文章标签: sql 数据库 eclipse tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59771750/article/details/127103198
版权

1.SQL注入的概念

SQL注入是指用户输入的条件中含有SQL的关键字,并且参与了SQL语句执行,改变了SQL语句的执行结果,叫SQL注入。SQL注入坏处:他人可以通过SQL注入盗取信息等等。

在tt_user表中查询userna为 'zs' 的用户,输入语句

SELECT * FROM tt_user WHERE username = 'zs AND password = 'z1234'就行了;

但是在我们在后面添加一个 OR 1 = 1时,就能把我们表里的数据都查询出来。

这是因为不论前面的条件是否成立而 OR 后面的 1 = 1 绝对会成立,最终条件是成立的所以就能查询到我们表里的全部数据。

2.SQL注入的解决方案

预编译:

预编译就是我们先将SQL语句预先处理,处理了以后,用户只能输入条件,而且输入的这个条件不能改变SQL语句的执行结果。

预编译的好处:

1.可以有效防止SQL注入;

2.安全且效率高;

3.可以动态填充数据。

3.登录示例理解  PreparedStatement 

PreparedStatement概述:

PreparedStatement 继承了 Statement 类,可以有效的防止SQL注入。

登录示例:

需求:1.写一个登录界面,有账号、密码,账号和密码取数据库表中的username和password;

           2.写一个登录成功的界面,内容随意;

           3.利用PreparedStatement 对象,验证登录密码是否正确,且登录成功后跳转登录成功界                面

第一步,先写登录界面login.jsp,eclipse新建jsp文件,这里注意了action里要写请求 Servlet 的名

<%@ page language="java" contentType="text/html; charset=UTF-8"
         pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>登录页面</title>
</head>
<body>
<!-- action写要请求 Servlet 的名 -->
<form action="leleServlet" method="post">
    用户名:<input type="text" name="uname"><br><br>
    密码:<input type="password" name="pwd"><br><br>
    <input type="submit" value="登录">
    <input type="reset" value="重置">
</form>
</body>
</html>

第二步,再把登录成功界面hello.jsp搞出来,这个也很简单,就是一个jsp界面

<%@ page language="java" contentType="text/html; charset=UTF-8"
         pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <title>登录成功页面</title>
</head>
<body>

登录成功!<br>
<a href="链接">返回登录页面</a>
</body>
</html>

第三步---编写Java代码

(1)新建一个带doget方法的servlet类

 

 (2)PreparedStatement 代码:

具体由以下几步:

1.先加载驱动 

Class.forName("com.mysql.jdbc.Driver");

报错不要慌,鼠标放在 forName 上点击 surround with try/catch 即可 我们接下来的代码写在 try 

2.获取数据库的链接和获取前面jsp传输过来的数据

//			2.获取数据库链接
			String url = "jdbc:mysql://localhost:3306/数据库名称?useSSL=false";
			String username = "用户名";
			String password = "密码";
			Connection connt =DriverManager.getConnection(url,username,password);
//			获取通过HTTP协议传输过来的数据
			String name = request.getParameter("uname");
			String pwd = request.getParameter("pwd");

3.定义SQL语句,注意SQL语句中的参数值,使用 ?占位符替代并获取 PreparedStatement 对象

//			定义SQL语句
//			SQL语句中的参数值,使用 ?占位符替代
			String sql = "SELECT username,password FROM tt_user WHERE username=? AND password=?";
//			获取 PreparedStatement 对象
			PreparedStatement pstmt = conn.prepareStatement(sql);

4.执行SQL,并根据用户输入的数据判断

//			执行SQL
			ResultSet resultSet=pstmt.executeQuery(sql);
//			判断
			if (resultSet.next()) {
				request.getRequestDispatcher("hello.jsp").forward(request, response);
			} else {
				request.getRequestDispatcher("login.jsp").forward(request, response);
			}

5.最后释放资源就行了,但是try里是局部变量,我们无法释放资源,所以我们把一些变量对的定义放在try外面即可。

		Connection conn = null;
		PreparedStatement pstmt = null;
		ResultSet resultSet = null

完整代码如下:

import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


@WebServlet("/leleServlet")
public class leleServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;
       
    /**
     * @see HttpServlet#HttpServlet()
     */
    public leleServlet() {
        super();
        // TODO Auto-generated constructor stub
    }

	/**
	 * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
	 */
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		Connection conn = null;
		PreparedStatement pstmt = null;
		ResultSet resultSet = null;
		try {
//			注册MySQL驱动
			Class.forName("com.mysql.jdbc.Driver");
//			获取链接
			String url = "jdbc:mysql://localhost:3306/数据库名称?useSSL=false";
			String username = "用户名";
			String password = "密码";
			conn = DriverManager.getConnection(url, username, password);
//			获取通过HTTP协议传输过来的数据
			String name = request.getParameter("uname");
			String pwd = request.getParameter("pwd");
//			定义SQL语句
//			SQL语句中的参数值,使用 ?占位符替代
			String sql = "SELECT username,password FROM tt_user WHERE username=? AND password=?";
//			获取 PreparedStatement 对象
			pstmt = conn.prepareStatement(sql);
//			设置 ? 的值
			pstmt.setString(1, name);
			pstmt.setString(2, pwd);
//			执行SQL
			resultSet = pstmt.executeQuery();
			if (resultSet.next()) {
				request.getRequestDispatcher("hello.jsp").forward(request, response);
				System.out.println("yes");
			} else {
				request.getRequestDispatcher("login.jsp").forward(request, response);
				System.out.println("no");;
			}
		} 
//		捕捉异常,打印异常
		catch (Exception e) {
			e.printStackTrace();
		}
	}

}

chen-10086
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java web访问MySql数据库分页查询
tuke_tuke的博客
09-14 4430
有时候我们查询数据库表时,但是很多时候表中的记录很多,需要显示出来的话怎么办?这时可以使用分页的方法,就是指定从数据库表的什么位置开始查询显示,以及指定显示的记录数目。 Mysql数据库提供了limit a,b的关键字,a是数据库表的查询起始位置,是个偏移量,b是指定本次查询的记录数目 下面是我的数据表: 数据库的链接类: package com.tools; import jav
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5908
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
PreparedStatement的使用
kiss_vicente的专栏
09-05 445
import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.SQLException; public cla
JDBC小记——SQL注入及预编译操作对象、批处理
最新发布
m0_63138660的博客
06-25 800
首先建一个工具包,在里面定义JBDC工具类但是,数据库、用户名和密码总不是固定不变的,当我们需要去改变时,需要打开这个工具类来改变数据,不如我们创建一个配置文件,使用配置文件来读取数据、修改数据来的方便。1.创建配置文件2.配置3.在工具类中使用配置文件。
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1135
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
fuzhouligong-jdbc-kongzhitai-wangshanggoushu
01-01
4. **预编译SQL(PreparedStatement)**: 对于频繁执行的SQL语句,预编译能提高效率,减少SQL注入风险。通过设置占位符,可以方便地插入动态参数。 5. **结果集处理(ResultSet)**: 查询返回的结果存储在`...
Sql-Server-2000-JDBC.rar_java sql server
09-19
`Statement`用于执行静态SQL,而`PreparedStatement`适用于动态SQL,可以防止SQL注入。例如: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM myTable"); ...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
在IT领域,尤其是在Java编程中,SQL注入是一个重要的安全问题,而PreparedStatement解决这一问题的有效手段之一。批量插入则是提高数据库操作效率的关键技术。今天我们就来深入探讨这些知识点。 首先,我们来理解...
mysql-connector-java-5.1.26-bin.zip
10-30
MySQL是世界上最受欢迎的关系型数据库管理系统之一,而Java作为一种广泛使用的编程语言,...同时,注意遵循最佳实践,如使用预编译的PreparedStatement以防止SQL注入,以及及时关闭数据库连接,以保持系统的高效运行。
mysql-connector-java-5.1.46-bin.jar
07-27
连接建立后,可以创建Statement或PreparedStatement对象来执行SQLStatement适用于简单的、静态的SQL语句,而PreparedStatement用于预编译的SQL语句,可防止SQL注入并提高性能。 6. **结果集处理**: SQL查询...
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4157
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
JDBC 用PreparedStatement语句动态操作SQL语句
diaoshu2256的博客
06-06 525
https://blog.csdn.net/u014453898/article/details/79038187 1.Statement 和 PreparedStatementStatement接口只能操作静态SQL语句(即SQL语句中操作的数据表,变量等等都是固定的,不能变化的)。而PreparedStatement接口则可以动态操作SQL语句(即SQL语句中的变量的值...
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
PreparedStatement的用法
凯尔探索
12-09 1803
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
JDBC进阶之PreparedStatement执行SQL语句(MySQL)
10-13 6615
从上一篇文章《JDBC连接MySQL数据库及示例》(前往该文章)的示例中,我们提到,使用Statement来执行SQL语句,例如: Connection connection; Statement statement ; ... ... statement
PreparedStatement的简单操作案例
ZX9727的博客
01-31 501
PreparedStatementStatement的子接口,它的实例对象可以通过调用Connection.preparedStatement(sql)方法获得 PreparedStatementStatement的区别: PreparedStatement可以避免SQL注入问题 Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出 PreparedStatement可对S...
PreparedStatement语句插入数据
汉南最後の読書人
10-13 2万+
代码:  1.直接调用插入: DButil.java import java.sql.DriverManager; import java.sql.SQLException; import java.util.Properties; import com.mysql.jdbc.Connection; public class DButil { /* * 打开数据库 */
PreparedStatement的介绍与解决sql注入
林高禄
06-24 9181
相关文章 jdbc连接以及出现的异常处理 Jdbc工具类 ResultSet的介绍与使用 jdbc中的sql注入 PreparedStatement PreparedStatementStatement的子接口,Statement是试行静态sql对象,PreparedStatement是执行预编译sql对象,用占位符?动态传参,解决sql注入问题。 下面就通过一个例子演示,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个...
Java程序设计——PreparedStatement接口和CallableStatement接口(JDBC编程)
Mr_John
07-04 933
PreparedStatement两大特点:执行带参数的SQL语句之前需要对占位符‘?’参数进行赋值,PreparedStatement提供setXXX()方法进行赋值 CallableStatement接口:用于执行数据库中的存储过程(数据库中一种特殊的预编译的SQL语句)三种带参数的存储过程:调用无返回值的存储过程: 调用有返回值的存储过程: 示例: CallableStatement接口通过setXXX()方法对IN参数进行赋值,通过registerOutParameter()方法对O
Java实验8 数据库.doc
05-02
本专栏主要为Java程序设计(基础)实验报告和Java程序设计(进阶)实验报告,基础篇有JAVA环境搭建、Java语言基础、方法和数组、面向对象基础、Java常用类、继承与接口、成员访问控制与异常、JavaFX程序设计、Java输入输出流;进阶篇有反射、泛型、注解、网络编程、多线程、序列化、数据库、Servlet、JSP、XML解析、单例模式与枚举。本专栏主要为Java入门者提供实验参考。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值