JDBC-防止SQL注入

最新推荐文章于 2024-05-06 16:50:11 发布
最新推荐文章于 2024-05-06 16:50:11 发布
阅读量966 收藏 3
点赞数
文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63144452/article/details/120945584
版权

1、什么是sql注入。----->sql拼接安全问题。

由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响

而Statement存在sql注入的问题:因为他的sql字符串拼接。

2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。

PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,关键字不会起作用,从而从原理上防止了sql注入的问题

PreparedStatement主要有如下的三个优点:

a. 可以防止sql注入

b. 由于使用了预编译机制,执行的效率要高于Statement                                                                                                   

案例代码如下:

package com.ykq.dao;

import com.ykq.entity.User;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.ArrayList;
import java.util.List;

public class UserDao {
    public Connection connection;
    public PreparedStatement ps;
    public ResultSet resultSet;
    //查询所有
    public List<User> findAll(){
        List<User> list=new ArrayList<>();
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "select * from tb_user";
            ps = connection.prepareStatement(sql);
            resultSet = ps.executeQuery();
            while (resultSet.next()) {
                User user = new User();
                //为java对象得属性赋值
                user.setUid(resultSet.getInt("uid"));
                user.setUname(resultSet.getString("uname"));
                user.setPassword(resultSet.getString("password"));
                user.setSex(resultSet.getString("sex"));
                list.add(user);
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            //TODO 关闭资源
        }
        return list;
    }


    //根据id查询 1
    public User findById(Integer id){
        User user=null;//声明对象
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "select * from tb_user where uid=?";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, id);
            resultSet = ps.executeQuery();
            while (resultSet.next()) {
                user = new User();
                //为java对象得属性赋值
                user.setUid(resultSet.getInt("uid"));
                user.setUname(resultSet.getString("uname"));
                user.setPassword(resultSet.getString("password"));
                user.setSex(resultSet.getString("sex"));
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 关闭资源
        }
        return user;

    }
    //删除 --- id删除
    public int deleteById(int id){
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "delete from tb_user where uid=?";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, id);
            int i = ps.executeUpdate();
            return i;
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 删除
        }
        return 0;
    }

    //修改
    public int update(User user){
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "update tb_user set uname=?,sex=?,password=? where uid=?";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, user.getUname());
            ps.setObject(2, user.getSex());
            ps.setObject(3, user.getPassword());
            ps.setObject(4, user.getUid());
            int i = ps.executeUpdate();
            return i;
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 删除
        }
        return 0;
    }
    //增加
    public int insert(User user){
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "insert into tb_user(uid,uname,password,sex) values(null,?,?,?)";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, user.getUname());
            ps.setObject(2, user.getPassword());
            ps.setObject(3, user.getSex());
            int i = ps.executeUpdate();
            return i;
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 删除
        }
        return 0;
    }
}

                                 

池武
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6167
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 224
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
使用JdbcTemplate解决SQL注入问题
m0_74582314的博客
04-22 1387
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。
【spring】jdbcTemplate之sql参数注入
idongit的博客
07-04 3236
做个标记移步大神博客:https://www.cnblogs.com/VergiLyn/p/6161081.html
Spring JdbcTemplate实现自定义动态sql拼接功能
最新发布
thinkers
05-06 530
sql 需要能满足支持动态拼接,包含 查询字段、查询表、关联表、查询条件、关联表的查询条件、排序、分组、去重等。11,核心类之 BasicConditionQueryCriteria(入参)7,核心类之 PredicateCondition。8,核心类之 PropertyCondition。10,核心类之 ExecutionSql。9,核心类之 SqlBuilder。6,核心类之 Condition。2,创建项目并引入 pom依赖。4,核心类之 Column。5,核心类之 Table。
JdbcTemplate防止sql注入攻击的源码解析
阿呆的专栏
09-04 9896
概述 使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。 会发生sql注入的查询 query(String sql, RowMapper<T> rowMapper) 源码解析 @Override public <T> List<T> q...
项目开发中安全问题及解决方案------sql注入
adru的博客
01-19 556
所谓盲注,指的是注入后并不能从服务器得到任何执行结果(甚至是错误信息),只能寄希望服务器对于 SQL 中的真假条件表现出不同的状态。也就是说,通过在真假条件中加入 SLEEP,来实现通过判断接口的响应时间,知道条件的结果是真还是假。基于时间的盲注原理就是,虽然 不能直接查询出 password 字段的值,但可以按字符逐一来查,判断第一个字符是否是 a、是否是 b……在代码中,我们可以引入p6spy工具打印出所有执行的 SQL,观察 sqlmap 构造的一些 SQL,来分析 其中原理。
JDBC 编程六步 防止SQL注入
qq_45858803的博客
03-02 372
文章目录图示理解Statement和PreparedStatementclass UserLogin 图示理解 Statement和PreparedStatement class UserLogin import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class UserLogin { public static void main(Strin
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
JDBC-and-SQL-test
03-26
3. **Statement/PreparedStatement**:`Statement`用于执行静态SQL语句,而`PreparedStatement`则用于执行预编译的SQL语句,它可以防止SQL注入攻击,并提高性能。 4. **ResultSet**:当执行查询时,结果通常会被...
spring-jdbc-tips:Spring JDBC,SQL和Java
01-28
同时,Spring JDBC支持使用`PreparedStatement`来防止SQL注入,提高代码安全性。 此外,Spring JDBC还提供了异常处理机制。当数据库操作出错时,会抛出`DataAccessException`子类异常,如`SQLException`,这使得...
JdbcTemplate防注入的几种方式
爱笑才不是傻帽的博客
07-18 2716
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法
老徐的博客只有干货
03-15 3136
SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
a342874650的专栏
12-29 3561
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用参数化查询:参数化查询是一种将用户输入的数据与SQL语句分开处理的方法。它将用户输入的数据作为参数传递给SQL语句,从而避免了将用户输入的数据直接拼接在SQL语句中的风险。 3. 过滤用户输入:过滤用户输入是一种常见的防止SQL注入攻击的方法。我们可以对用户输入的数据进行验证和过滤,只允许符合规定的数据通过。 4. 限制数据库用户权限:限制数据库用户的权限可以避免恶意用户对数据库进行操作,从而降低SQL注入攻击的风险。 总之,为了防止SQL注入攻击,我们需要使用预处理语句、参数化查询、过滤用户输入和限制数据库用户权限等多种方法,从多个层面保证数据库的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值