jdbc中使用PreperedStatement避免SQL注入

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量1.2k 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paocai_2019/article/details/102969731
版权

PreperedStatement可以避免SQL注入的问题。
如:String sql=“select * from admin where loginname=’”+loginName+"’ and loginpwd=’"+loginPwd+"’";

    在应用中:

        -》请输入账号:
             333
        -》请输入密码:
              wer'or'1'='1
    实际上发送:select * from admin where loginname='333' and loginpwd='wer'or'1'='1',登录成功!
 
 通过PreperedStatement,如下:

PreperedStatement st = null;
String sql = “select * from users where name=? and password=?”;
//获取用于向数据库发送sql语句的Preperedstatement
st = conn.preparedStatement(sql);//在此次传入,进行预编译
st.setString(1, username);
st.setString(2, password);
//向数据库发sql
st.executeQuery();//

paocai_2019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC连接(Statement和PrepareStatement)
一路向阳,春暖花开
04-06 2202
1.JDBC连接的连接步骤(Statement和PrepareStatement) (1)注册驱动 (只做一次) (2)建立连接(Connection)  (3)创建执行SQL的语句(Statement) (4)执行语句 (5)处理执行结果(ResultSet) (6)释放资源 1.1注册驱动 (1)Class.forName(“com.mysql.jdbc.Drive
Java JDBC PreparedStatement类
Claroja
05-11 923
“Statement”对象,每执行一条语句,都会让数据库先编译再运行 “PreparedStatement”对象,则会相同语句,不同参数(通过?号传入)进行一次编译 所以“PreparedStatement”对象有两个优点: 1.预编译功能提高了执行效率 2.通过“?”传递参数,可以防止SQL注入,安全性高 Connection 接口 描述 PreparedStatement pr...
jdbcStatement接口的sql注入
programmer_trip的博客
05-25 252
jdbcStatement接口的sql注入 代码实践 下面用最原始的jdbc连接代码演示一下 -- 环境 -- musql 8.0.12 -- jdbc jar包 mysql-connector-java-8.0.19.jar --第一步 使用navicate创建数据库和表 -- 创建数据库 create database my_first; -- 创建表 create table temp_user( u_id int primary key auto_increment, u_name var
JDBC-PreparedStatement类详解(解决SQL注入)
qq_43531919的博客
07-26 454
PreparedStatement:执行sql的对象 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a' or 'a' = 'a 2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 2. 解决sql注入问题:使用PreparedStatement对象来解决 3. 预编译的SQ
Java-JDBC-PreparedStatement和SQL注入
gaogzhen的博客
06-18 183
Java-JDBC-PreparedStatement和SQL注入 目录 文章目录1、登录案例2、SQL注入3、PreparedStatement***后记*** : 内容 1、登录案例 需求:输入用户名和密码,如果用户名和密码同数据库存储的用户名和密码相同,则运行登录,否则不允许登录 步骤: 创建login表 username字段 password字段 create table login( id int primary key auto_increment,
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
JSP使用JDBC访问SQL Server 2008数据库示例
10-25
主要介绍了JSP使用JDBC访问SQL Server 2008数据库示例,本文重点在JSP代码示例,需要的朋友可以参考下
sqljdbc4-3.0.jar
12-22
标题“sqljdbc4-3.0.jar”指向的是一个特定版本的Microsoft SQL Server JDBC驱动程序,它是用于在Java应用程序连接和操作SQL Server数据库的桥梁。这个版本的驱动(3.0)支持与SQL Server 2000的兼容性。 在描述...
sqlserver 2000 8版本jdbc驱动
最新发布
09-01
在Java编程环境,我们通常会使用JDBC(Java Database Connectivity)驱动来与SQLServer进行数据交互。JDBC驱动是Java语言访问数据库的标准接口,它允许Java程序通过API与各种数据库进行通信。 标题的"sqlserver...
sqlserver2000-jdbc2.0驱动
03-01
SQL Server 2000的情况下,Microsoft提供了JDBC驱动,使得Java开发者能够轻松地在Java应用集成SQL Server。`sqljdbc.jar`是微软早期发布的JDBC驱动程序,适用于Java 2 Platform, Standard Edition (J2SE) 5.0及...
PerparedStatement防止SQL注入
weixin_57219176的博客
08-09 198
PerparedStatement防止SQL注入
JDBC之通过PreaparedStatement接口实现对数据库进行CRUD操作步骤
weixin_51094637的博客
01-20 1020
目录 一,前言 二,JDBC(了解) 概述: 三,CRUD操作(create(增加),read(查),update(修改),delete(删除))步骤 1)导入jar包(丰富的工具类)加载JDBC驱动程序,并获取连接 2)预编译sql语句,返回PrepareStatement的实例对象 4)执行sql语句 5)获取并处理结果集 6)资源的释放(close() 一,前言 1.数据的持续化:把数据保存到可掉电式存储设备以供之后使用。 大多数情况下,特别是企业级应用,数据持久化意味.
初学JDBC__第四节(SQL注入,PreparedStatement和Statement )
ZXFC88的专栏
12-22 763
SQL注入,PreparedStatement和Statement 1、在SQL包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 2、PreperedStatement(从Statement扩展而来)相对Statement的优点:
JavaJDBC连接数据库步骤 以及 Statement和preparseStatement
yansong_8686的专栏
05-10 2510
1.prepareStatement可以替换变量 在SQL语句可以包含?,可以用     ps=conn.prepareStatement("select * from Cust where ID=?");     int sid=1001;     ps.setInt(1, sid);     rs = ps.executeQuery(); 可以把?替换成变量。
JAVA【JDBC】【使用PreparedStatement操作数据库】
芊樱烛渊的博客
08-07 4738
这里我们是先连接到了我们上述的数据表,然后将数据表的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
JDBCPreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 6000
在Java,当需要向数据库执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC--PrepareStatement
本人随手记录,内容只是个人看懂程度,对内容有任何疑问请勿打扰
02-03 480
PrepareStatement:执行sql语句 1,sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题。 比如: String sql="SELECT * FROM land WHERE NAME='"+name +"'AND PASSWORD='"+password+"'"; 输入用户随便输,输入密码:a’ or ‘a’='a; sql:SELECT *...
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8146
前言:怀着疑惑和痛苦的心情写下这篇文章,其疑惑之一是预编译对象,会把编译之后的整个语句保存在对象,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
为什么PrepareStatement可以防止sql注入
liu1324457514的博客
01-14 2705
为什么Statement会被sql注入 因为Statement之所以会被sql注入是因为SQL语句结构发生了变化。比如: "select*from tablename where username='"+uesrname+ "'and password='"+password+"'"在用户输入’or true or’之后sql语句结构改变。select*from tablename where
Java JDBC:连接数据库与防SQL注入教程
在处理SQL语句执行部分,课程分别讲解了如何使用JDBC执行INSERT语句,理解其返回值类型,以及执行SELECT语句获取结果集的操作步骤。对于查询操作,不仅讲解了基本的查询语法,还涉及到了操作结果集的细节,如遍历和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值