jdbc——sql注入

最新推荐文章于 2024-03-14 02:08:59 发布
最新推荐文章于 2024-03-14 02:08:59 发布
阅读量922 收藏 1
点赞数 2
分类专栏: java 数据库 文章标签: java jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_72960906/article/details/127608640
版权


SQL注入

1 SQL注入的效果的演示

1.1 SQL注入代码
 

package cn.bdqn.demo03;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

public class Login {

    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        
        //创建Scanner类对象,从控制台获取用户名和密码数据
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String user = sc.nextLine();//使用nextLine()方法获取字符串
        System.out.println("请输入密码:");
        String pwd = sc.nextLine();//使用nextLine()方法获取字符串
        
        //1、注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2、获取连接对象
        String url = "jdbc:mysql://127.0.0.1:3306/java221804";
        String dbuser = "root";
        String password = "123456";
        Connection connection = DriverManager.getConnection(url, dbuser, password);
        //3、获取发送SQL语句的对象
        Statement statement =connection.createStatement();
        //编写SQL语句
        String sql = "SELECT * FROM user WHERE username='"+user+"' AND password = '"+pwd+"';";
        //4、执行SQL语句
        ResultSet resultSet=statement.executeQuery(sql);
        if(resultSet.next()){
            System.out.println("用户名和密码正确,登录成功");
        }else{
            System.out.println("用户名或密码不正确,登录失败");
        }
        //6、关闭资源
        resultSet.close();
        statement.close();
        connection.close();
        sc.close();
    }
}


 

1.2 SQL注入效果

输入错误的用户名和密码,提示登录失败:

![](img/05输入的用户名或密码错误.png)

输入错误的用户名和密码,提示登录成功:产生了SQL注入

![06输入不存在的用户名和密码](img/06输入不存在的用户名和密码.png)

2 什么是SQL注入

在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。

上面案例代码中,当你的用户名为 abc' or 1=1;#   密码为123,拼接到SQL语句中,变成如下效果:
SELECT * FROM user WHERE username='abc' or 1=1;#' AND password = '123';
 

此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功

3 如何避免SQL注入

由于SQL注入产生的原因是在用户输入数据对SQL整合,整合后再发送到数据库进行编译产生的。所以为了避免SQL注入,就需要SQL语句在用户输入数据前就进行编译,成为完整的SQL语句,编译完成后再进行数据填充。这个操作需要使用PrepareStatement实现。

PrepareStatement解决SQL注入(重要)

PreparedStatement接口继承了Statement接口,执行SQL语句的方法与Statement执行SQL语句的方法相同。

1 PreparedStatement的应用

PreparedStatement的作用:

- ​    预编译SQL语句,效率高
- ​    安全,避免SQL注入
- ​    可以动态的填充数据,执行多个同结构的SQL语句

1.1 参数标记


//预编译SQL语句,SQL中的所有参数由?符号占位,这被称为参数标记。在执行SQL语句之前,必须为每个参数提供值。
String sql = "select * from user where userName = ? and password=?;";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
```

1.2 动态参数绑定

preparedStatement.sexXxx(下标,值):参数下标从1开始,为指定参数下标绑定值。Xxx表示数据类型。


//绑定参数,有多少个?绑定多少个参数值
preparedStatement.setString(1, userName);
preparedStatement.setString(2, pwd);
```

2 综合案例

package cn.bdqn.demo02;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

public class PreparedStatementDemo01 {

    public static void main(String[] args) throws ClassNotFoundException,SQLException {

        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名:");
        String userName = sc.nextLine();
        System.out.println("请输入密码:");
        String pwd = sc.nextLine();

        // 1、注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        // 2、获得连接
        String url = "jdbc:mysql://localhost:3306/java2217";
        String user = "root";
        String password = "123456";
        Connection connection = DriverManager.getConnection(url, user, password);
        // 3、获取发送SQL对象
        String sql = "select * from user where userName = ? and password=?;";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        // 4、绑定参数,有多少个?绑定多少个参数值
        preparedStatement.setString(1, userName);
        preparedStatement.setString(2, pwd);
        // 5、执行SQL语句,并处理结果
        ResultSet resultSet = preparedStatement.executeQuery();
        if (resultSet.next()) {
            System.out.println("用户名和密码正确,登录成功");
        } else {
            System.out.println("用户名或密码错误,登录失败");
        }
        // 6、释放资源:与关闭流的方式一样,先开的后关,后开的先关
        resultSet.close();
        preparedStatement.close();
        connection.close();
        sc.close();
    }
}



 

不愿是过客
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java Web程序设计教程
12-11
第4章sqljdbc 64 4.1sql 64 4.1.1sql概述 64 4.1.2ddl与dml简介 64 4.1.3sql使用方法 65 4.2jdbc 67 4.2.1jdbc概述 67 4.2.2jdbc驱动程序 68 4.2.3使用jdbc读取数据 69 4.3项目实战——存储图书信息 73 ...
JDBCSQL注入
每日一记,每周一结。
10-07 592
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
JDBC中的SQL注入
DZH2020的博客
08-14 1070
JDBC中的SQL注入
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
m0_61331573的博客
03-14 352
使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败。执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败。
JDBCsql注入
PP东博客
08-22 645
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
JDBC技术【SQL注入JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)
07-11 445
JDBC技术【SQL注入JDBC批量添加数据、JDBC事务处理、其他查询方式】(三)-全面详解(学习总结---从入门到深化)
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6049
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
DBKING使用指南
06-07
另外,也可以在此基础上配合一定的代码来防止SQL注入的问题。 3、为各类数据库之间的数据导入导出提供高效率的工具  异构数据库的导入导出一直是个大难题,一般的工具配置复杂,尤其是不支持LOB这样的...
Spring.3.x企业应用开发实战(完整版).part2
05-31
 《Spring3.x企业应用开发实战》是在《精通Spring2.x——企业应用开发详解》的基础上,经过历时一年的重大调整改版而成的,本书延续了上一版本追求深度,注重原理,不停留在技术表面的写作风格,力求使读者在熟练...
Spring3.x企业应用开发实战(完整版) part1
05-31
 《Spring3.x企业应用开发实战》是在《精通Spring2.x——企业应用开发详解》的基础上,经过历时一年的重大调整改版而成的,本书延续了上一版本追求深度,注重原理,不停留在技术表面的写作风格,力求使读者在熟练...
5. MySQL - JDBC & SQL 注入 &博客系统(万字详解)
qq_58969626的博客
07-14 1822
JDBC 的介绍;如何通过 JDBC 连接数据库;什么是 SQL 注入;通过 JDBC 实现简单的博客系统。
JDBC编程——SQL注入问题以及解决方案
Best_Basic的博客
09-05 930
SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 解决SQL注入问题的方案: 只要用户提供的信息不参与sql语句的编译过程,问题就解决了。 即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 2193
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1523
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
Java的JDBC最全基础笔记(SQL注入
weixin_55415300的博客
12-05 1006
1、JDBC:Java DataBase Connectivity,可以理解为是以前的Socket桥梁,或流读写数据库(1)确切的说,JDBC是Java平台提供的一套统一的执行规范/标准(2)那么我们知道通常定义规范,一般都要定义一些接口,所以JDBC这一套规范中定义了很多的接口和类及方法(3)那么接口是不能干活的,需要子类去完成,那么子类需要谁去完成?(4)Java对应多种数据库,那么就需要数据库去实现这个接口,Mysql数据库要去实现,Oracle的数据库也要去实现;
JDBC连接执行SQL
weixin_73849581的博客
03-09 3319
JDBC
JdbcTemplate、mybatis、mybatis-plus的依赖注入及原理和应用实现
Lennon__的博客
11-09 348
MyBatis是一个优秀的持久层框架,它通过XML或注解的方式将Java方法与SQL语句进行映射,提供了灵活的SQL编写和结果映射功能。JdbcTemplate的原理是通过封装JDBC的操作,提供了一系列的模板方法,简化了数据库操作的流程,包括连接管理、异常处理、SQL执行等。MyBatis-Plus是MyBatis的增强工具,它在MyBatis的基础上提供了更多的便捷功能,包括代码生成器、通用CRUD操作、分页插件等。1.配置数据源:在MyBatis-Plus配置文件中配置数据源信息。
SQLJDBC
ggbondd的博客
03-09 1550
文章目录jdbc概念jdbc本质jdbc快速入门步骤详解各个对象DriverManager:驱动管理对象1.注册驱动2.获取数据库连接对象Connection:数据库连接对象1.获取执行SQL的对象2.管理事务Statement:执行SQL的对象1.执行SQL2.insert语句练习ResultSet:结果集对象,封装着查询结果select语句练习抽取jdbc工具类:JDBCUtilsJDBCUtils.javajdbc.javaPreparedStatement:执行SQL的对象1.sql注入问题2.使用
三.依赖注入
JACKEYLLLLLOVE的博客
07-25 201
1.基于构造方法的依赖注入 (1)通过构造方法注入实例 配置文件如下: <beans> <bean id="beanOne" class="x.y.ThingOne"> <constructor-arg ref="beanTwo"/> <constructor-arg ref="beanThree"/> </bean> <bean id="beanTwo" class="x.y
jdbc sql注入
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据中注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不愿是过客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值