07_传智播客JDBC_Statement的sql注入问题

最新推荐文章于 2020-07-27 10:02:15 发布
最新推荐文章于 2020-07-27 10:02:15 发布
阅读量383 收藏
点赞数
分类专栏: jdbc 文章标签: sql jdbc 数据库 string null class
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nttwbd/article/details/4092642
版权

通过PreperedStatement预防主注入

PreperedStatement的优点

1 预防sql注入 占位符作为实参来定义sql语句,从而避免sql注入的攻击。

2 Statement 频繁使数据库编译SQL ,造成数据库缓存区溢出

3 在相关数据库连接没有关闭的情况下, 数据库和驱动可以优化PreperedStatement

 

package five.base;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import four.utils.utilsSingle;

public class Base {
 
 public static void main(String[] args) throws SQLException {

// 注入
  read("'or 1 or '");
 }

    static void read(String name) throws SQLException{
       
     Statement statement = null;
     ResultSet rs = null;
     utilsSingle instance = utilsSingle.getUtilsSingleInstance();

     // 1 创建连接
        Connection connection = instance.getConnection();
        try {
         
            // 2 创建语句
            statement = connection.createStatement();
            // 4 执行语句
            String sql = "select *from user where name = '" + name + "'";
            System.out.println(sql);
            rs = statement.executeQuery(sql);
            // 5 处理结果
            while (rs.next()) {
                System.out.println(rs.getObject(1)
                        + "/t" + rs.getObject(2)
                        + "/t" + rs.getObject(3)
                        + "/t" + rs.getObject(4)
                        + "/t");
            }
        } finally {
         // 释放资源 finally
         instance.free(connection, statement, rs);
        }
    }
}

 

解决思路 过滤 sql 保留字

但是 不同的数据库 的某些保留字 是不一样的

例如 单引号 双引号

所以 应该交给数据库生产厂商(驱动)来过滤保留字

 

nttwbd
关注
专栏目录
web连接mysql数据库流程_传智播客JavaWeb day10-jdbc操作mysql、连接数据库六大步骤...
weixin_29105429的博客
02-05 146
第十天主要讲了jdbc操作mysql数据库,包括连接数据库六大步骤(注册数据库驱动、获得连接对象connetion、生成传输器stament、执行查询获得ResultSet、遍历结果集、关闭资源)、介绍了连接数据库的常用对象(Drivermanage、Connection、Statement、ResultSet)、对大文本二进制的操作、对user案例进行了改进、sql批处理、利用泛型工厂类解耦、s...
2.mybatis_demo(传智播客)
u010286027的博客
11-17 225
需求:对用户信息进行CURD操作 一.环境搭建 4.在日志文件log4j.properties中添加如下配置信息 #在控制台输出日志信息 # Global logging configuration log4j.rootLogger=DEBUG, stdout # MyBatis logging configuration... log4j.logger.org.mybatis.exampl...
第七章 Statementsql注入问题
不知道干嘛的
02-16 348
package cn.itcast.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class SQLInject {
注意那些容易被忽略的SQL注入技巧
专栏
03-21 683
下面我要谈到一些Sqlserver新的Bug,虽然本人经过长时间的努力,当然也有点幸运的成分在内,才得以发现,不敢一个人独享,拿出来请大家鉴别。1.关于Openrowset和Opendatasource 可能这个技巧早有人已经了,就是利用openrowset发送本地命令。通常我们的用法是(包括MSDN的列子)如下...  下面我要谈到一些Sqlserver新的Bug,虽然本人经过长时间的努力
传智播客JDBC视频教程
weixin_34029949的博客
05-25 153
视频介绍: 一些视频教程通过浅显案例来让刚開始学习的人感到轻松,可是课程中编写的代码不能直接应用于项目中;而本套视频教程正好相反,视频解说者李勇老师以技术见长。性格朴实无华、不善于幽默搞笑。李勇老师编写的代码很专业和有用,整个内容都是採用实际项目中应用的高水准代码、站在较高层次上进行深入解说,所以,初学人员学习本视频教程在開始时比較吃力。可能必须耐心学习多遍才干渐入佳境。但你一...
JDBC(学习记录一)传智播客
zero
07-27 139
JDBC: 概念:Java DataBase Connectivity Java 数据库连接, Java语言操作数据库JDBC本质:其实是(sun公司)定义的一套操作所有关系型数据库的规则,即接口。各个数据库厂商去实现这套接口,提供数据库驱动jar包。我们可以使用这套接口(JDBC)编程,真正执行的代码是驱动jar包中的实现类。 public class JdbcDemol { public static void main(String[] args) throws ClassNotFou
传智播客_JDBC视频教程
weixin_34032827的博客
06-08 101
从01-49 总大小650M。推荐迅雷下载。目录:01_传智播客JDBC_jdbc的理论概述02_传智播客JDBC_编写一个简单的jdbc例子程序.rar03_传智播客JDBC_分析jdbc程序的编写步骤和原理.rar04_传智播客JDBC_规范和封装jdbc程序代码.rar05_传智播客JDBC_答疑学员提出的单例问题.rar06_传智播客JDBC_完成对数据库的CRUD操...
传智播客李勇Jdbc视频笔记(1-6)
郭海龙的技术博客
04-04 253
1、jdbc的理论概述: JDBC(Java Data Base Connectivity,java数据库连接),由一些接口和类构成的API。 J2SE的一部分,由java.sql,javax.sql包组成 [img]http://dl.iteye.com/upload/attachment/229123/ffaf17ee-c19f-30e6-99e8-67e2b8246c0d.jpg[...
传智播客 JDBC基础之日期问题与大文本操作
JAVA专栏
10-23 515
     前面讲到PrepareStatement可以用来解决SQL注入问题,除了这个好处之外,PrepareStatement还有另外两个好处:一是Statement使数据库频繁编译SQL,可能造成数据库缓冲区溢出,而PrepareStatement出现这种情况。二是数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。既然Pr
02_传智播客JDBC_编写一个简单的jdbc例子程序.rar
04-16
标题中的“02_传智播客JDBC_编写一个简单的jdbc例子程序”表明这是一个关于Java数据库连接(JDBC)的教程,由传智播客提供,内容可能涉及如何使用JDBC来执行基本的数据库操作。描述和标签与标题一致,暗示这个压缩包...
01_传智播客JDBC_jdbc的理论概述
11-17
3. **Statement与PreparedStatement**:Statement用于执行静态SQL语句,而PreparedStatement则可以预编译SQL,提高执行效率,且能防止SQL注入攻击。 4. **结果集(ResultSet)**:当执行查询操作时,数据库返回的...
49_传智播客JDBC_所有源码与ppt.rar
03-31
传智播客JDBC教程:源码与PPT解析》 在IT行业中,Java数据库连接(JDBC)是至关重要的一个部分,它为Java程序员提供了与各种数据库进行交互的标准接口。本教程“49_传智播客JDBC_所有源码与ppt.rar”是一个全面的...
传智播客JDBC_所有源码与ppt
02-19
【标题】"传智播客JDBC_所有源码与ppt"是一个教育机构传智播客发布的关于Java数据库连接(JDBC)技术的教学资源集合。这个压缩包包含了讲解JDBC的PPT演示文稿和相关的源代码示例,旨在帮助学习者深入理解和掌握JDBC...
19_传智播客JDBC_使用DAO工厂模式(代码超经典)2 之关于newInstance() new
nttwbd的专栏
05-03 784
   Class myClass = Class.forName(className);   ud = (UserDao) myClass.newInstance();   /////////////////////////////////////////////////////////////////////////////////////////////////////////////
传智播客JDBC_规范和封装jdbc程序代码学习笔记
nttwbd的专栏
03-15 676
package three.jdbc.base; import java.sql.Connection;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement; import three.jdbc.utils.Utils; // import 的是接口(sql.XXX)
19_传智播客JDBC_使用DAO工厂模式(代码超经典)3 之关于初始化过程
nttwbd的专栏
05-03 651
觉得Core Java在Java 初始化过程的总体顺序没有讲,只是说了构造器时的顺序,作者似乎认为路径很多,列出来比较混乱。我觉得还是要搞清楚它的过程比较好。所以现在结合我的学习经验写出具体过程:  过程如下:  1.在类的声明里查看有无静态元素(static element, 我姑且这么叫吧),比如:static int x = 1,{ //block float sss = 333
17_传智播客JDBC_结合Service层讲解DAO层的异常处理
nttwbd的专栏
05-02 649
package five.domain;import java.sql.Date;public class User { private int id; private String name; private String password; private Date brithday; private float monney; public int getId() {  retu
19_传智播客JDBC_使用DAO工厂模式(代码超经典)
nttwbd的专栏
05-03 510
package five.test.daoFaction;import java.io.InputStream;import java.util.Properties;import five.dao.UserDao;public class DaoFactory {  // 简单工厂模式 && 单例模式 private static UserDao ud = null; private
传智播客JDBC学习精华:从基础到高级实践
本篇《传智播客视频Jdbc学习笔记》详细介绍了JDBC(Java Database Connectivity)在Java编程中的基础知识和实践应用。以下是部分内容的详细解析: 1. **JDBC简介**:JDBC是Java语言与数据库交互的接口,允许Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值