PreparedStatement 模拟并解决sql注入

最新推荐文章于 2023-04-17 17:52:15 发布
最新推荐文章于 2023-04-17 17:52:15 发布
阅读量394 收藏 1
点赞数 1
分类专栏: JavaWeb 文章标签: sql 开发语言 sql注入 Prepare statement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64365315/article/details/126101555
版权

作用:

预编译sql语句执行:预防sql注入问题

sql注入:通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法

我输入的信息为账号是随便输入的:fdadf,

密码为 :' or'1'='1

也登录成功了

模拟一下sql注入



import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class Test5 {
	public static void main(String[] args)  throws Exception{
		//我现在数据表中只有一个 数据   t_username='zhangsan' t_password='123';
		String url="jdbc:mysql:///TestUser";
		String userName="root";
		String PassWord="666";
		Connection con=DriverManager.getConnection(url, userName, PassWord);//创建连接	
		Scanner sc=new Scanner(System.in);
		System.out.println("请您输入账号:");
		String username2=sc.nextLine();
		System.out.println("请您输入密码:"); //模拟sql注入  输入   ' or'1'='1
		String passwold2=sc.nextLine();
		String sql="select * from tb_user where t_username='"+username2+"'and t_password=+ '"+passwold2+"' ";
		Statement st=con.createStatement();
		ResultSet rs=st.executeQuery(sql);
		System.out.println(sql); //把他输出看看sql是啥
		if(rs.next()) {//如果有数据肯定就是查到了
			System.out.println("登录成功");
		}else {
			System.out.println("登录失败");
		}
	}

}

用Navicat打卡一下,主要是拼接出现了问题 

select * from tb_user where t_username='fdadf'and t_password=+ ''or '1'='1'

解决sql注入

1获取PrepareStatement对象

Sql语句中的参数,使用?占位符代替

String sql="select * from user where username=? and password=?";

通过Connection 对象获取,并传入对象的sql语句

PreparedStatement ps=con.prepareStatement(sql);

2设置参数值

PrepareStatement对象:setXXX(参数1,参数2):给?赋值

Xxx:数据类型  ;如setInt(参数1,参数2)

参数:

参数1:? 的位置编号 ,从1开始

参数2: ?的值(变量)

3执行sql

executeUpdate()或者 executeQuery;不需要再传sql

没有问题的登录

package lib;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class Test7 {
	public static void main(String[] args) throws Exception {
		// TODO Auto-generated method stub//我现在数据表中只有一个 数据   t_username='zhangsan' t_password='123';
		String url="jdbc:mysql:///TestUser";
		String userName="root";
		String PassWord="666";
		Connection con=DriverManager.getConnection(url, userName, PassWord);//创建连接	
		Scanner sc=new Scanner(System.in);
		System.out.println("请您输入账号:");
		String username2=sc.nextLine();
		System.out.println("请您输入密码:"); 
		String passwold2=sc.nextLine();
		String sql="select * from tb_user where t_username=?and t_password=?";
		PreparedStatement ps=con.prepareStatement(sql);//创建PrepareStatement对象
		//设置参数
		ps.setString(1, username2);  //设置第一个问号
		ps.setString(2, passwold2); //设置第二个个问号
		ResultSet rs=ps.executeQuery(); //执行sql
		if(rs.next()) {//如果有数据肯定就是查到了
			System.out.println("登录成功");
		}else {
			System.out.println("登录失败");
		}
	}
}

PrepareStatement原理

好处:

预编译Sql,性能更高

防止sql注入,将敏感字符进行转义

1:PrepareStatement预编译功能开启:useServerPrepStmts=true ,在url中添加

String url="jdbc:mysql:///TestUser?useServerPrepStmts=true";

2配置Mysql执行日志(重启mysql服务器后生效) 配置到ini文件中

log-output=FILE

general-log=1

general_log_file="D:/mysql.log"   

show-query-log=1

slow_query_log_file="D:\mysql_slow.log"

long_query_time=2

PrepareStatement原理:

1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)

2执行时就不用再进行这些步骤了,速度更快

3如果sql模板一样,则只需进行一次检查,,编译

小萌新上大分
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SQL 注入-模拟操作
嘻哈熊的专栏
05-22 609
链接:https://jizhi.im/blog/post/sql_injection_intro 先来看一副很有意思的漫画: 相信大家对于学校们糟糕的网络环境和运维手段都早有体会,在此就不多做吐槽了。今天我们来聊一聊 SQL 注入相关的内容。 何谓 SQL 注入? SQL 注入是一种非常常见的数据库攻击手段,SQL 注入漏洞也是网络世界中最普遍的漏洞之一。大家也许都听过某某学长通过攻击学校数据库修改自己成绩的事情,这些学长们一般用的就是 SQL 注入方法。 SQL 注入其实就是恶意用户通过在表单中填.
Tornado+MySQL模拟SQL注入
weixin_30470857的博客
07-05 145
实验环境: python 3.6 + Tornado 4.5 + MySQL 5.7 实验目的: 简单模拟SQL注入,实现非法用户的成功登录 先给一个SQL注入的图解,图片来自网络: 一、搭建环境 1、服务端的tornado主程序app.py如下: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import torna...
JDBC-03-笔记
qq_24410589的博客
05-31 117
SQL防注入攻击(PreparedStatement) 1. sql注入攻击的演示 2.sql注入攻击的原理 3. PreparedStatement的介绍 4. PreparedStatement的使用 5. 使用PreparedStatement优化student表的CRUD
模拟sql注入实现远程桌面登录
08-26 273
首先用sql注入文件命令y url+一句话 into outfile 绝对路径/test.php 用蚁剑连接打开连接的终端 先看用户的权限 创建一个用户将它放入队列中 查看3389端口是否开启 0xd3d 16进制解码为3389 打开远程桌面连接输入新建的用户和密码 成功远程桌面连接 转载于:https://www.cnblogs.c...
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 985
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
如何获得PreparedStatement最终执行的sql语句
03-24
NULL 博文链接:https://huiminchen.iteye.com/blog/1097332
如何防止SQL注入.pdf
最新发布
04-02
通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,确保它符合预期的格式。例如,如果你期待一个...
sql2005 批量更新问题的解决方法
01-21
首先注意Statement 和PreparedStatement的问题 Statement sm = cn.createStatement(); sm.addBatch(sql1);... PreparedStatement ps = cn.preparedStatement(sql); { ps.setXXX(1,xxx); … ps.addBatch(); } ps.execu
解决SQL语句中含有中文字符无法查询问题
01-21
我在写JDBC的是时候,遇见了因为在SQL语句中含有中文无法运行的情况,于是我把这句话放到mysql客户端中测试,结果通过,我估计不是字符编码问题,是PreparedStatement这个接口做了一些我不知道的处理导致这个问题的...
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题与解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题与解决、查询...3.SQL注入问题与解决Statement 、PreparedStatement) 3.1.模拟SQL注入 3.2.PreparedStatement解决 3.3.Statement 与 PreparedStatement 4.完整源码
SQL注入实验
2301_76346422的博客
04-17 1086
所谓sql注入,就是通过把sql命令插入到web表单提交或输出域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令,从而进一步得到相应的数据信息通过构造一条精巧的雨具,来查询到想要得到的信息。
SQL注入以及使用PreparedStatement解决SQL注入
weixin_44250483的博客
04-15 617
SQL注入 SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。 使用PreparedStatement防止SQL注入SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值 PreparedStatement会把所有用来替换占位符的都当成字符串处理 package com.jing.jdbc; import com.jing.utils.JDBCUtils; import
一个简单的登陆案例模拟sql注入Statement与PreparedStatement对比
浅时光|初如梦
06-15 485
1. sql注入 由于后台的sql是拼接而来,其中的参数是用户提交的,如果用户在提交参数时,参杂了一些sql的关键字或者特殊符号,可能会导致sql语义的改变,从而造成一些意外的操作。 2.Statement Statement主要用于执行静态sql语句,即内容固定不变的sql语句 Statement没执行一次都要对传入的sql语句编译一次,效率较差 某些情况下,sql语句只是其中的参数有所不同,其余子句完全相同,不适用于Statement 会被sql注入攻击 模拟sql 注入的代码实现如下:
pymysql操作以及简单sql注入模拟
qq_37369726的博客
12-17 708
pymysql是python连接mysql操作的一个模块,pymysql操作: import pymysql conn = pymysql.connect( host='192.168.247.100', port=3306, user='root', password='123457', database='test', charset='utf8' ) # cursor = conn.cursor(pymysql.cursors.DictCursor)
模拟sql注入以及当中遇到的问题
qq_22008531的博客
06-12 649
Hibernate模拟sql注入 不使用?占位符以及其他set之类的防止注入的方法,直接字符串拼接。不支持多语句hibernate会产生异常,异常类型:org.hibernate.QueryException: unexpected char: ';'   Mybatis模拟sql注入          不使用#{} ,而使用${},${}不参与sql编译并且不会加’’,和hibern...
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1220
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里和大家一起学习
PreparedSatement预编译处理对象、解决SQL注入问题
huangyh技术栈
08-26 870
1.1 SQL注入问题: SQL攻击的原理:通过 ' 或者是 or 语句去改变SQL的判断条件。 JDBC连接mysql数据库实现登录注册功能实际上是存在SQL攻击问题的,别人可以使用任意的用户名以及密码进行登录。  例如: 用户名:bbb'or' 1=1 密码:sahfsf ' or '1=1 我们让用户输入的密码和SQL语句进行字符串拼接。用户输入的内容作为了SQL语句语法的...
Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法
老徐的博客只有干货
03-15 2940
SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。
网络攻防技术——SQL注入
学习记录
02-27 3056
一、题目 SQL注入是一种代码注入技术,它利用web应用程序和数据库服务器之间接口中的漏洞。当用户的输入在发送到后端数据库服务器之前未在web应用程序中正确检查时,就会出现此漏洞。许多web应用程序从用户处获取输入,然后使用这些输入构造SQL查询,这样web应用程序就可以从数据库中获取信息。Web应用程序还使用SQL查询在数据库中存储信息。这些是web应用程序开发中的常见做法。如果未仔细构造SQL查询,则可能会出现SQL注入漏洞。SQL注入攻击是对web应用程序最常见的攻击之一。 在本实验室中,我们创建了一
PreparedStatement ps为什么可以避免sql注入问题
05-17
PreparedStatement 对象可以帮助我们避免 SQL 注入问题的原因是因为它使用了预编译的 SQL 语句。也就是说,当我们使用 PreparedStatement 对象时,我们需要先将 SQL 语句中的占位符(即 "?")替换成真正的参数值,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小萌新上大分

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值