解决sql漏洞

最新推荐文章于 2024-04-14 15:00:48 发布
最新推荐文章于 2024-04-14 15:00:48 发布
阅读量604 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62102386/article/details/131668171
版权

反射封装

sql语句由字符串拼接而成时,当条件后面加上 or true,就会发生sql注入,如: username=“a’ or ‘1=1’ ”,这样就会使条件恒为true,为避免这样,可以使用statement的子类preparedStatement

preparedStatement的作用

  • 提前传入sql,执行的时候,不传入sql
  • 解决sql注入漏洞
  • 支持转入sql中的参数
  • 提高效率

Object…params(可变形参数组)

作用:再调用函数时,可以传入任意个任意类型的参数

  • Object…params必须将它放到函数最后,否则将出现错误,原因是数组将其他参数化为了自己的,而其他参数将无值

    查询多行多列

public static <T> ArrayList<T> list(String sql, Class<T> c,Object...params) {
        ArrayList<T> list = new ArrayList<T>();

        try {
            //注册驱动-反射去加载jar包中com.mysql。jdbcDriver这个类的DriverManager.registerDriver()

            Class.forName("com.mysql.jdbc.Driver");

            //获取连接对象
            Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3307/camp-2023?characterEncoding=utf8","root","root");
            System.out.println(con);

            //需要创建statement
           PreparedStatement preparedStatement  = con.prepareStatement(sql);
            for (int i = 0; i < params.length; i++) {
                preparedStatement.setObject(i+1,params[i]);
            }

            //statement执行sql,返回结果集
            ResultSet rs = preparedStatement.executeQuery();
            //结果集rs得到结果集元数据
            ResultSetMetaData md = rs.getMetaData();
            //获取结果集的总列数
            int columnCount = md.getColumnCount();

            //解析
            while(rs.next()) {//读取结果集的光标向下移动一行,光标默认在哪一行,列名所在的哪一行
                //根据每一行数据,封装成一个实体对象
                T t=c.newInstance();
                //取出某一行的每一列数据,封装到对象t的属性中
                for (int i = 1; i <columnCount ; i++) {
                    //通过列的序号,获取每一列的值
                    Object value= rs.getObject(i);

                    if(value !=null) {
                        //通过列的序号,获取每一列的名
                        String columnName = md.getColumnName(i);
                        //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                        Field f = c.getDeclaredField(columnName);
                        //赋予私有属性的赋值权限
                        f.setAccessible(true);
                        //使用反射,把value给到对象t的属性中
                        f.set(t, value);//理解为:把value赋值给对象的columName属性,相当于set方法

                    }
                }

                list.add(t);
            }

            //关闭资源

            preparedStatement.close();
            con.close();

        }catch (Exception e){
            e.printStackTrace();
        }
        return list;

    }

查询一行

public static <T> T selectRow(String sql, Class<T> c,Object...params) {

        try {
            //注册驱动-反射去加载jar包中com.mysql。jdbcDriver这个类的DriverManager.registerDriver()

            Class.forName("com.mysql.jdbc.Driver");

            //获取连接对象
            Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3307/camp-2023?characterEncoding=utf8","root","root");
            System.out.println(con);

            //需要创建statement
            PreparedStatement preparedStatement = con.prepareStatement(sql);
            for (int i = 0; i < params.length; i++) {
                preparedStatement.setObject(i+1,params[i]);
            }
            //statement执行sql,返回结果集
            ResultSet rs = preparedStatement.executeQuery();

            //结果集rs得到结果集元数据
            ResultSetMetaData md = rs.getMetaData();
            //获取结果集的总列数
            int columnCount = md.getColumnCount();
            T t=null;
            //解析
            if (rs.next()) {//读取结果集的光标向下移动一行,光标默认在哪一行,列名所在的哪一行
                //根据每一行数据,封装成一个实体对象
                t=c.newInstance();
                //取出某一行的每一列数据,封装到对象t的属性中
                for (int i = 1; i < columnCount; i++) {

                    //通过列的序号,获取每一列的值
                    Object value = rs.getObject(i);

                    if (value != null) {
                        //通过列的序号,获取每一列的名
                        String columnName = md.getColumnName(i);
                        //因为列名和实体类t中的属性名一致,为每一个属性构造一个反射中的set方法
                        Field f = c.getDeclaredField(columnName);
                        //赋予私有属性的赋值权限
                        f.setAccessible(true);
                        //使用反射,把value给到对象t的属性中
                        f.set(t, value);//理解为:把value赋值给对象的columName属性,相当于set方法

                    }
                }

            }

            //关闭资源

            preparedStatement.close();
            con.close();
            return t;
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }

查询一列

public static <T> ArrayList<T> selectColumn(String sql, Class<T> c,Object...params) {
        ArrayList<T> list = new ArrayList<T>();

        try {
            //注册驱动-反射去加载jar包中com.mysql。jdbcDriver这个类的DriverManager.registerDriver()

            Class.forName("com.mysql.jdbc.Driver");

            //获取连接对象
            Connection con= DriverManager.getConnection("jdbc:mysql://localhost:3307/camp-2023?characterEncoding=utf8","root","root");

            System.out.println(con);

            //需要创建statement
            PreparedStatement preparedStatement = con.prepareStatement(sql);
            for (int i = 0; i < params.length; i++) {
                preparedStatement.setObject(i+1,params[i]);
            }
            //statement执行sql,返回结果集
            ResultSet rs = preparedStatement.executeQuery();
            //结果集rs得到结果集元数据
            ResultSetMetaData md = rs.getMetaData();
            //获取结果集的总列数
            int columnCount = md.getColumnCount();

            //解析
            while (rs.next()) {//读取结果集的光标向下移动一行,光标默认在哪一行,列名所在的哪一行

                //取出某一行的每一列数据,封装到对象t的属性中

                //通过列的序号,获取每一列的值
                T t=(T) rs.getObject(1);

                list.add(t);
            }

            //关闭资源

            preparedStatement.close();
            con.close();

        }catch (Exception e){
            e.printStackTrace();
        }
        return list;

    }

查询单个


    public static <T> T selectOne(String sql, Class<T> c,Object...params) {

        try {
            //注册驱动-反射去加载jar包中com.mysql。jdbcDriver这个类的DriverManager.registerDriver()

            Class.forName("com.mysql.jdbc.Driver");

            //获取连接对象
            Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3307/camp-2023?characterEncoding=utf8", "root", "root");
            System.out.println(con);

            //需要创建statement
           PreparedStatement preparedStatement= con.prepareStatement(sql);
            for (int i = 0; i < params.length; i++) {
                preparedStatement.setObject(i+1,params[i]);
            }
            //statement执行sql,返回结果集
            ResultSet rs = preparedStatement.executeQuery();
            //结果集rs得到结果集元数据
            ResultSetMetaData md = rs.getMetaData();
            //获取结果集的总列数
            int columnCount = md.getColumnCount();

            //解析
            T t =null;
            if (rs.next()){
                t= (T)rs.getObject(1);
            }
            //通过列的序号,获取每一列的值

            //关闭资源

            preparedStatement.close();
            con.close();
            return t;

        }catch (Exception e){
            e.printStackTrace();
        }
        return null;

    }
m0_62102386
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL注入漏洞过程实例及解决方案
09-08
主要介绍了SQL注入漏洞过程实例及解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SQL注入漏洞
麒麟阁
11-28 489
基于SQL的Web系统安全防范——SQL注入漏洞 攻击研究及防范措施 SQL-Based Web System Security——Structured Query Language InjectionLeak Attack Study And Defense Measure SQL注入(SQL Injection)漏洞攻击是目前网上最流行最热门的黑客脚本攻击方法之一,那什么...
漏洞篇(SQL注入三)_sql注入漏洞解决方法,最新网络安全架构师成长路线
最新发布
2401_83974142的博客
04-14 707
代码中过滤了 or 和 AND,大小写同样都被过滤了。
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1296
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
修复SQL注入漏洞 两种方法
cuanli7032的博客
03-16 2375
之前在网上找到一个在线的网站漏洞扫描工具,叫亿思平台,是一个免费的web安全扫描平台。反正免费,就测试自己的一个网站,没想到还真扫描出SQL注入漏洞。但里面没有提供自动修复功能,需要自己动手来修复。经过反复查看论坛资料,还真让我...
sql 拼接int类型的字段_SQL注入漏洞解决方案
weixin_39627751的博客
11-16 533
一、sql注入漏洞  1. SQL注入漏洞  SQL注入攻击(SQL Injection),简称为注入攻击,SQL注入,被广泛用于非法获取网站控制权。这是在应用程序的数据库层中发生的安全漏洞。在设计程序中,忽略了对输入字符串中包含的SQL命令的检查,并且将数据库误认为是要运行的常规SQL命令,这导致数据库受到攻击,从而可能导致盗窃,修改和删除数据,并进一步导致网站嵌入恶意代码,植入后门程序的危害等...
SQL 注入漏洞原理以及修复方法
it知识分享 free for nothing..
01-23 4355
SQL 注入漏洞原理以及修复方法
sql注入漏洞 为什么有 怎么解决
yueloveme的博客
08-27 1697
给大家推荐个靠谱的公众号程序员探索之路,大家一起加油 ​  package com.qf.zzh; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.List; impo...
sql注入漏洞
03-24
:简要介绍了SQL注入攻击的原理,对SQL注入攻击方式进行了分析,总结了SQL注入攻 ...型,经过测试表明该模型的计算时间复杂度低,具有安全性和通用性,解决了网络中存在的SQL注 入攻击问题。
JEECGBOOT代码SQL漏洞处理方案.zip
06-21
漏洞编码:HW21-0499 产品名字:JeecgBoot低代码平台 问题: JEECG系统存在SQL注入0day漏洞
php中sql注入漏洞示例 sql注入漏洞修复
12-18
在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。...这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。...因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL
【网络安全】SQL注入漏洞的修复建议
Yb528970805的博客
09-25 1531
修复SQL注入漏洞需要仔细过滤危险字符和使用参数化查询或预编译语句。这两种方法可以有效地保护您的应用程序免受SQL注入攻击的威胁。在编写代码时,请始终考虑安全性,以确保您的应用程序和用户的数据都得到充分的保护。如果你也需要学网络安全,成为一名白帽黑客,可以看这份2023年最详细最全面的教程资料合集内容【戳下文链接即可学习】自学网络安全(黑客)技术多长时间能达到就业的水平?t=N7T8自学网络安全(黑客)技术多长时间能达到就业的水平?
SQL注入漏洞修复方案及代码审计
fengxioabai的博客
03-18 1014
⼀个成功的SQL注⼊攻击可以从 数据库中获取敏感 数据、修改数据库数据(插⼊/更新/删除)、执⾏数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库⽂件系统中的指定⽂件 内容,在某些情况下能对操作系统发布命令。由于⽤户的输⼊,也是SQL语句的⼀部分,所以 攻击者可以利⽤这部分可以控制的内容,注⼊⾃⼰定义的语句,改变SQL语句 执⾏逻辑,让数据库执⾏任意⾃⼰需要 的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何⾃⼰需要的数据,利⽤数据库的⼀ 些特性,可以直接 获取数据库服务器的系统权限。
SQL注入漏洞解决心得
Chumy_CC的博客
07-14 3581
SQL注入有哪些危害? 1、攻击者未经授权可访问数据库中的数据,盗取用户信息,造成用户数据泄露。 2、对数据库进行增删改查操作,导致权限模糊或丢失 3、可植入木马,篡改数据等
SQL注入漏洞解决(PreparedStatement对象)
m0_58679504的博客
07-30 182
我们使用#将后面的内容注释起来,前面还是条完整的sql,还是能查到。五、PreparedStatement对象的使用。使用—注释,代码可能加trim(),就不生效了。加个or true都能查出来,很危险!会报错,因为代码中也拼了个引号。
网站SQL注入漏洞原理及解决办法
网络蚂蚁
10-26 2840
前段时间拿网站天气预报15天查询(http://tqybw.net)到360网站全检测,发现问题很严重,存在SQL注入漏洞,后来逐个排查,确保网站安全! 以下是网站SQL注入漏洞原理及解决办法,希望广大web开发人员注意和学习! 目标存在SQL注入漏洞。 1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。 2. SQL注入攻击就其本质而言,它利用
项目常见SQL注入漏洞攻击及解决办法
u010174217的专栏
06-23 6370
项目接口常见SQL注入漏洞攻击及解决办法 1、弱口令漏洞 解决方案:使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储加密后的密文。 2、未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置拦截器过滤掉无效用户的连接请求。 3、接口返回的信息中抛出的异常可能暴露程序信息。有经验的入侵者,可以从抛出的异常中获取很多信息,比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。 解决方案:自定义一个Exception,将异常信息包装起来不要抛到
SQL注入问题的解决方法
weixin_74094841的博客
05-06 422
SQL注入问题的解决方法
网站被sql注入攻击怎么解决【详细思路】
weixin_54787877的博客
02-23 1421
sql注入攻击怎么解决SQL注入攻击,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统等。 防御sql注入攻击的思路 1.发现SQL注入位置,判断后台数据库类型; 2.确定XP_CMDSHELL可执行情况,发现WEB虚拟目录; 3.上传ASP木马,得到服务器管理员的权
sql注入漏洞解决方法
11-08
为了避免 SQL 注入的出现,我们可以采取以下三种常见的防护方法: 1.使用 PreparedStatement 方法或者存储过程,尽量避免在 SQL 语句中出现字符串拼接的操作。 2.对用户的输入进行验证、检测并过滤 SQL 中的关键词,从而避免原有语句被篡改。 3.使用ORM框架,ORM框架可以自动将Java对象映射到数据库表中,从而避免手动编写SQL语句的过程中出现SQL注入漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值