Java使用JDBC开发 之 SQL注入攻击和解决方案,java面试评语及录用意见

最新推荐文章于 2024-04-08 17:00:37 发布
最新推荐文章于 2024-04-08 17:00:37 发布
阅读量159 收藏
点赞数
分类专栏: 程序员 文章标签: 面试 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64383449/article/details/121821109
版权

String password = “123456”;

Connection con = DriverManager.getConnection(url,username,password);

//3.获得语句执行平台

//Statement createStatement() 获取Statement对象,将SQL语句发送到数据库

Statement stat = con.createStatement();

//4.从控制台输入用户名和密码

Scanner sc = new Scanner(System.in);

String user = sc.nextLine();

String key = sc.nextLine();

//String sql1 = “select * from users where username=‘qwer’ and password=‘1234535’ or 1=1”;

String sql2 = “select * from users where username=’”+ user +"‘and password=’"+ key +"’";

System.out.println(sql2);

ResultSet

《一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义》

【docs.qq.com/doc/DSmxTbFJ1cmN1R2dB】 完整内容开源分享

res = stat.executeQuery(sql2);

while (res.next())

{

System.out.println(res.getString(“username”) + " " + res.getString(“password”));

}

con.close();

res.close();

stat.close();

}

当从控制台输入正确的账号和密码时,可以登录成功,但当输入任意账号和密码后,在密码后面加上 ‘or’ 1=1,也能够登录成功,这样就存在安全隐患

二、注入攻击解决方案

==========

可以使用 PrearedStatement 来解决注入攻击的问题,在Statement 接口的子接口中,有一个 PrearedStatement 接口,可以使 SQL 预编译存储,多次高效地执行 SQL,并能防止注入攻击。使用PreparedStatement pst =  con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类

  1. 执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败

  2. 调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类

  3. 调用PreparedStatement对象set方法,设置问号占位符上的参数

  4. 调用方法,执行SQL,获取结果集

public static void main(String[] args) throws SQLException, ClassNotFoundException {

//1.注册驱动 反射技术,将驱动类加入到内容

Class.forName(“com.mysql.jdbc.Driver”);

//2.获得数据库连接 DriverManager类中静态方法

//static Connection getConnection(String url, String user, String password)

//返回值是Connection接口的实现类,在mysql驱动程序

//url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字

String url = “jdbc:mysql://localhost:3306/mylogon”;

String username = “root”;

String password = “123456”;

Connection con = DriverManager.getConnection(url,username,password);

//3.从控制台输入用户名和密码

Scanner sc = new Scanner(System.in);

String user = sc.nextLine();

String key = sc.nextLine();

//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败

String sql2 = “SELECT * FROM users WHERE username= ? AND PASSWORD= ?”;

//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类

//方法中参数,SQL语句中的参数全部采用问号占位符

PreparedStatement pre = con.prepareStatement(sql2);

System.out.println(sql2);

//5.调用pst对象set方法,设置问号占位符上的参数

pre.setObject(1,user);

pre.setObject(2,key);

//6.调用方法,执行SQL,获取结果集

ResultSet res = pre.executeQuery();

m0_64383449
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java程序员必看,java技术面试评语录用建议
lt_xiaodou的博客
08-02 1360
最近一段时间发现经常看到很多人,对Spring源码比较感兴趣,日常开发中,无论你做什么什么项目,大部分都离不开Spring生态的那一套东西,所以很多人对Spring底层源码实现很感兴趣,但是有些从来没有接触过源码的开发者,在看Spring源码的过程中确实及其难受的,为什么,大部分人看源码基本都是debug一点一点去看的,最后发现,越追越离谱,越追越深,到最后都追到JDK源码了,也没有明白是什么意思!对于学习源码,我的看法是,先去完全的熟悉它的用法,想一下如果让你来实现,你会怎么实现!https。...
spring源码分析3,java技术面试评语录用建议
m0_64383736的博客
11-27 538
对import,alias,bean,beans的标签处理 对bean标签的解析和注册 解析bean的子元素 默认对于其他标签的解析 创建一个属性承载beanDefintion 创建了各种bean实例,便可以对bean信息进行解析 解析子元素meta 解析子元素lookup-method ![在这里插入图片描述 《一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义》 【docs.qq.com/doc/DSmxTbFJ1cmN1R2dB】 完整内容开源分享
Java面试评语录用建议_面试录用评语.doc
热门推荐
weixin_31727797的博客
02-25 1万+
面试录用评语面试录用评语面试评语张三:语言表达简洁,富有条理,善于聆听,能从别人的观点中提炼总结出新的见解,但缺乏主动性和积极性,李四:语言表达通顺,但不够简练,分析问题基本清晰,强调自己的观点时有一点说服力,时间观念不强,王五:语言表达简洁流畅,内容有条理,善与他人沟通,把自己的看法融入众人的意见,有合作意识,能妥协支持别人意见,但组织协调能力较弱。刘二:语言通顺,表述清楚,分析问题基本清晰,沟...
面试总结报告,看看别人家 SpringBoot 的全局异常处理,java技术面试评语录用建议
2401_83977357的博客
04-08 538
作为一名即将求职的程序员,面对一个可能跟近些年非常不同的 2019 年,你的就业机会和风口会出现在哪里?在这种新环境下,工作应该选择大厂还是小公司?已有几年工作经验的老兵,又应该如何保持和提升自身竞争力,转被动为主动?就目前大环境来看,跳槽成功的难度比往年高很多。一个明显的感受:今年的面试,无论一面还是二面,都很考验Java程序员的技术功底。最近我整理了一份复习用的面试题及面试高频的考点题及技术点梳理成一份“Java经典面试问题(含答案解析).pdf和一份网上搜集的“Java程序员面试笔试真题库.pdf。
全网最全Java程序员必知必会计算机网络、数据结构与算法进阶宝典开源分享!
Java圈全能架构师的博客
10-14 2097
今天我给大家分享一些你学习时用得着的资料,希望对大家有帮助。获取方式在文末 01.第一份资料是图解网络 根据读者阅读偏好不同,共出了两个版本风格的 PDF,分别是亮白版本和暗黑版本。 整理完,才发现这份图解网络 PDF 竟然 300 页了,近 9W 字。 02.第二份资料是计算机的相关知识 看完能让你对计算机有一个基础的了解和入门,是培养你 内核 的基础,我们看下目录大纲 基本上涵盖了计算机所有基础知识,从 CPU 到内存、讲解什么是二进制、磁盘、压缩算法、操作系统...
JAVA代码审计之SQL注入
06-14
1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate...
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题与解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题与解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题)...
spring-jdbc-tips:Spring JDBCSQLJava
01-28
《Spring JDBCSQLJava深度探索》 Spring JDBC是Spring框架的一个重要组成部分,它提供了一种简化数据库操作的抽象层,使得开发者可以更加方便地处理数据库事务,执行SQL语句,以及管理数据源。本篇将深入探讨...
JAVA 通过 JDBC 连接 SQL Server 2005 的 jar 文件
最新发布
06-23
本资源提供了名为"sqljdbc4.jar"的驱动库,这是微软官方为SQL Server 2005开发JDBC驱动,使得Java开发者能够方便地在SQL Server 2005上执行SQL操作。 首先,让我们详细了解JDBC的工作原理。JDBC驱动分为四种类型...
java面试知识点总结--JDBC.pdf
01-24
Java JDBCJava Database Connectivity)是Java编程语言中用于与关系数据库交互...以上就是Java面试中关于JDBC的一些核心知识点,理解并掌握这些内容对于Java后端开发者来说非常重要,尤其是在面试和实际项目开发中。
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
java面试评价表
07-18
用于Java面试,包括多个面试题以及评分记录!
java面试意见.jpg
04-13
《可伸缩服务架构:框架与中间件》
防止sql注入解决方案
12-07
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
程序员面试评语-优秀范文 (14页).pdf,这是一份不错的文件
06-09
程序员面试评语-优秀范文 (14页).pdf,这是一份不错的文件
Java后端开发面试评语,大佬内推去蚂蚁金服面试java应届毕业生面试
2401_84006732的博客
04-06 759
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
JavaSQL注入的防范与解决方法
hymua的博客
02-05 1344
SQL注入是一种常见而危险的安全漏洞,但通过采取适当的防范措施,可以有效地保护应用程序免受这种类型的攻击。在编写Java应用程序时,遵循上述的最佳实践是确保数据库安全的关键步骤。通过使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限,可以显著提高应用程序的安全性,保护用户的数据不受损害。
JDBCSQL注入漏洞分析和解决
兮动人
09-21 544
1.1 JDBCSQL注入漏洞分析和解决 1.1.1 SQL注入漏洞分析 1.1.2 SQL注入漏洞解决 需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。? 所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 public class UserDao { public boolean login(String username,String password){ Connection c
java开发面试评语
m0_67392409的博客
06-24 2910
自我评价或是自我介绍(我是Java程序员)你这里介绍的就挺好啊。有个条理就行我前段时间也总参加面试,也是做J2EE,我说下我自我介绍的思路:1。先介绍基本情况,哪里人,什么学校毕业在什么公司工作过,主要做什么。(一般这时候面试官就提问了,不提问继续往下)2。说下自己的性格,比如学习能力强,团队精神之类的。最好是举例说明,这样更有说服力,比只是说说强。3。一般说完以上的也要几分钟了,面试官如果不说话,我就会一直讲下去,讲讲项目经验(人事面试),技术+项目经验(技术面试)什么的。讲到他提问为止。java程序员的
java面试试题集
08-14
该资源共分为十部分,涵盖了Core Java、OOAD&UML、XML、SQLJDBC&Hibernate、Web、EJB&Spring、数据结构&算法&计算机基础、C++和Weblogic及其它等多个领域。 **Core Java** 1. 面向对象的特征有哪些方面? 答:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值