JDBC-防止SQL注入

最新推荐文章于 2024-05-06 16:50:11 发布
最新推荐文章于 2024-05-06 16:50:11 发布
阅读量950 收藏 3
点赞数
文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63144452/article/details/120945584
版权

1、什么是sql注入。----->sql拼接安全问题。

由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响

而Statement存在sql注入的问题:因为他的sql字符串拼接。

2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。

PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,关键字不会起作用,从而从原理上防止了sql注入的问题

PreparedStatement主要有如下的三个优点:

a. 可以防止sql注入

b. 由于使用了预编译机制,执行的效率要高于Statement                                                                                                   

案例代码如下:

package com.ykq.dao;

import com.ykq.entity.User;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.ArrayList;
import java.util.List;

public class UserDao {
    public Connection connection;
    public PreparedStatement ps;
    public ResultSet resultSet;
    //查询所有
    public List<User> findAll(){
        List<User> list=new ArrayList<>();
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "select * from tb_user";
            ps = connection.prepareStatement(sql);
            resultSet = ps.executeQuery();
            while (resultSet.next()) {
                User user = new User();
                //为java对象得属性赋值
                user.setUid(resultSet.getInt("uid"));
                user.setUname(resultSet.getString("uname"));
                user.setPassword(resultSet.getString("password"));
                user.setSex(resultSet.getString("sex"));
                list.add(user);
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            //TODO 关闭资源
        }
        return list;
    }


    //根据id查询 1
    public User findById(Integer id){
        User user=null;//声明对象
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "select * from tb_user where uid=?";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, id);
            resultSet = ps.executeQuery();
            while (resultSet.next()) {
                user = new User();
                //为java对象得属性赋值
                user.setUid(resultSet.getInt("uid"));
                user.setUname(resultSet.getString("uname"));
                user.setPassword(resultSet.getString("password"));
                user.setSex(resultSet.getString("sex"));
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 关闭资源
        }
        return user;

    }
    //删除 --- id删除
    public int deleteById(int id){
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "delete from tb_user where uid=?";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, id);
            int i = ps.executeUpdate();
            return i;
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 删除
        }
        return 0;
    }

    //修改
    public int update(User user){
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "update tb_user set uname=?,sex=?,password=? where uid=?";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, user.getUname());
            ps.setObject(2, user.getSex());
            ps.setObject(3, user.getPassword());
            ps.setObject(4, user.getUid());
            int i = ps.executeUpdate();
            return i;
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 删除
        }
        return 0;
    }
    //增加
    public int insert(User user){
        try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/world?serverTimezone=Asia/Shanghai", "root", "root");
            String sql = "insert into tb_user(uid,uname,password,sex) values(null,?,?,?)";
            ps = connection.prepareStatement(sql);
            ps.setObject(1, user.getUname());
            ps.setObject(2, user.getPassword());
            ps.setObject(3, user.getSex());
            int i = ps.executeUpdate();
            return i;
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            // TODO 删除
        }
        return 0;
    }
}

                                 

池武
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【spring】jdbcTemplatesql参数注入
weixin_30741653的博客
12-11 620
demo @Repository("jdbcDao") public class JdbcTemplateDao { @Autowired private JdbcTemplate jdbcTemplate; @Autowired private NamedParameterJdbcTemplate namedTemplate; private ...
JDBC如何有效防止SQL注入
12-14
 那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它...
JDBC 防止SQL注入
m0_52376209的博客
08-02 288
sql语句参数化,防止sql注入 创建命令发送器(prepareStatement) 在选择命令发送器时,不再使用createStatement,而是使用prepareStatement 在建立连接后,先写好sql语句,使用?占位 //1.注册驱动 Class.forName("com.mysql.cj.jdbc.Driver"); //2.建立连接 Connection connection = DriverManager.ge
Spring JdbcTemplate实现自定义动态sql拼接功能
最新发布
thinkers
05-06 455
sql 需要能满足支持动态拼接,包含 查询字段、查询表、关联表、查询条件、关联表的查询条件、排序、分组、去重等。11,核心类之 BasicConditionQueryCriteria(入参)7,核心类之 PredicateCondition。8,核心类之 PropertyCondition。10,核心类之 ExecutionSql。9,核心类之 SqlBuilder。6,核心类之 Condition。2,创建项目并引入 pom依赖。4,核心类之 Column。5,核心类之 Table。
JdbcTemplate防注入的几种方式
热门推荐
夜晓星的博客
01-18 1万+
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
JdbcTemplate防止sql注入攻击的源码解析
阿呆的专栏
09-04 9843
概述 使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。 会发生sql注入的查询 query(String sql, RowMapper<T> rowMapper) 源码解析 @Override public <T> List<T> q...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时...
JDBC-and-SQL-test
03-26
3. **Statement/PreparedStatement**:`Statement`用于执行静态SQL语句,而`PreparedStatement`则用于执行预编译的SQL语句,它可以防止SQL注入攻击,并提高性能。 4. **ResultSet**:当执行查询时,结果通常会被...
spring-jdbc-tips:Spring JDBCSQL和Java
01-28
同时,Spring JDBC支持使用`PreparedStatement`来防止SQL注入,提高代码安全性。 此外,Spring JDBC还提供了异常处理机制。当数据库操作出错时,会抛出`DataAccessException`子类异常,如`SQLException`,这使得...
Spring3+Dwr+JdbcTemplate(拦截器方式实现防止重复提交)
01-25
1.针对SpringMVC注解的配置,可起到入门的作用 2.Spring+JdbcTemplate事物管理 3.Spring+Hibernate事物管理 4.Spring实现DWR注解方式的应用配置 5.Spring配置拦截器 6.Spring通过拦截器实现防止重复提交实例 对学习,会起到非常好的效果
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以防止SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
MS-SQL jdbc 2.0
08-24
5. **Statement和PreparedStatement**: `Statement`用于执行静态SQL语句,而`PreparedStatement`则用于预编译SQL语句,提高性能,防止SQL注入攻击。 6. **批处理**: MS-SQL JDBC 2.0 支持批处理操作,允许一次性...
sqljdbc4.0-4.2.zip
03-04
同时,推荐使用预编译的`PreparedStatement`来防止SQL注入攻击。 10. 兼容性:SQLJDBC驱动适用于各种Java应用,包括Java Web应用,例如在Tomcat、Jetty等应用服务器上运行的Servlet和JSP应用。 总的来说,SQLJDBC ...
JDBC-example-in-Java:JDBC应用程序
06-20
PreparedStatement对于防止SQL注入更安全,也更适合多次执行相同查询的情况。 4. **执行SQL查询**:使用Statement对象的`executeQuery()`或`executeUpdate()`方法来执行SELECT、INSERT、UPDATE或DELETE语句。`...
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4865
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
MySQL SQL 注入
weixin_34272308的博客
06-12 145
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本博文将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用...
使用JdbcTemplate解决SQL注入问题
m0_74582314的博客
04-22 1333
int affected =jdbcTemplate.update(sql, 11, "红孩儿 11", "红色头更大了");String sql = "INSERT INTO monster VALUES(10, '红孩儿', '红色头大')";方式一存在sql注入的问题,使用方式二绑定参数的形式可有效解决sql注入问题。
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值