Statement操作sql语句的弊端

最新推荐文章于 2022-03-29 00:12:03 发布
最新推荐文章于 2022-03-29 00:12:03 发布
阅读量414 收藏 1
点赞数 1
分类专栏: javaweb 文章标签: java jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pison007/article/details/113485127
版权

SQL注入 Statement 字符串拼接 数据库安全 JDBC
关键词由CSDN通过智能技术生成

Statement操作SQL语句的弊端

在学习JDBC的时候,提到了用Statement进行数据库的增删改查的弊端,主要有两点。

  1. 拼写sql语句涉及字符串的拼接,太痛苦
  2. sql注入

. 下面通过一个登录情景说明这两个弊端

登录的过程:
简单的登录实现,用户输入用户名和密码。获取用户名和密码的信息后去数据库的表中对比,如果发现有匹配的用户名和密码,就表明登录成功,没有匹配的用户信息说明匹配失败。

我写了一个get方法,该方法可以去数据表中查看是否有对应的用户信息,如果有就返回相应的User对象,没有则返回null
get方法代码:

public static User get(String sql) throws Exception{
		//获取基本的配置信息
		InputStream input=StatementCase.class.getClassLoader().getResourceAsStream("jdbc.properties");
		Properties pro=new Properties();
		pro.load(input);
		String url=pro.getProperty("url");
		String user=pro.getProperty("user");
		String password=pro.getProperty("password");
		String driverClass=pro.getProperty("driverClass");
		
		//加载驱动类
		Class.forName(driverClass);
		
		//获取连接
		Connection con=DriverManager.getConnection(url,user,password);
		
		Statement statement=con.createStatement();
		ResultSet rs=statement.executeQuery(sql);
		User login_user=null;
		if(rs.next()){
		String username=rs.getString("username");
		String password1=rs.getString("password");
		login_user=new User();
		login_user.setUsername(username);
		login_user.setPassword(password1); 
		
				}
		
		return login_user;
		
	}

用户输入用户名,密码

public static void main(String[] args) throws Exception {
		Scanner scanner=new Scanner(System.in);
		System.out.print("用户名:");
		String user=scanner.next();
		System.out.print("密码:");
		String password=scanner.next();
		
		String sql="select username,password from userinfo where  username='"+user+"' and password= '"+password+"'";
		User result=get(sql);
		if(result!=null){
			System.out.println("登录成功");
		}
		else{
			System.out.println("登录失败");
		}

	}

目前为止看起来都一切良好,这个时候问题来了,我必须把变量名user,password放进我的sql语句中去。也就是这个样子:

select username,password from userinfo where  username='变量user'  and  password= '变量password'

由于在java中执行的SQL语句必须以字符串的形式书写,那么就涉及到字符串的拼接,就会变成这个样子

String sql="select username,password from userinfo where  username='"+user+"' and password= '"+password+"'";

此时此刻是不是感觉可读性很差而且写起来很麻烦,不过都还好,毕竟我们不怕麻烦 (逃

另一个问题却是我们不能接受的,也就是这篇的重点SQL注入

SQL注入是什么?

用一个很简单的例子在理解,我们来看这样一条SQL语句

SELECT username, 
password FROM userinfo WHERE username='a' OR 1 = ' AND password = 
' OR '1' = '1'

解析起来就是,筛选username,password字段,从userinfo这个表中,筛选条件是 XXX or XXX or XXX,这三个XXX只要有一个成立,就表明符合筛选要求。又因为1=1这个条件是恒成立的,所以每一行数据都符合要求,必然可以筛选出结果。
执行结果如下:在这里插入图片描述
于是神奇的地方来了,我可以想办法在输入用户名和密码的时候,输入一些SQL语句。

在这里插入图片描述
然后 , user变量的值就是:a’ OR 1 =
password变量的值就是:OR ‘1’ = '1
导致的结果就是SQL语句会变成我刚刚写的那个样子,然后该用户就登录成功了,这就是SQL注入了。

总结起来SQL注入就是指:由于用户的恶意输入,导致系统执行了恶意SQL语句,做一些坏的事情。

小结:

  1. Statement对象进行增删改查的时候,需要用字符串的拼接写sql语句,非常麻烦可读性差
  2. 由于需要用字符串拼接的方式写sql,所以才给 SQL注入 提供了可乘之机。
pison007
关注
专栏目录
mysql监视执行sql语句_监控mysql执行的sql语句
weixin_34773479的博客
02-05 2895
linux平台 监控mysql执行的sql语句 为了做好配合开发做性能和功能测试,方便监控正在执行的sql语句, 可以在/etc/mysqld中添加如下: log =/usr/local/mysql/var21005/mysql.log 就可以使用: tail -f mysql.log 来监控了 www.2cto.com 如果需要监控慢查询可以添加如下内容: log-slow-q...
JDBC】使用PreparedStatement实现增删改查操作
愿万事胜意
03-11 5177
操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatement:SQL 语句被预编译并存储在此对象中,可以使用此对...
使用Statement操作数据表的弊端
七一
07-27 547
使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口中定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
Statement操作数据库的弊端 [Java][JDBC]
m0_57001006的博客
03-29 374
Statement操作数据库的弊端 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果 其实一个数据库连接就是一个Socket连接 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式: Statement: 用于执行静态SQL语句,并返回它所生成结果的对象 PreparedStatement: 预编译SQL语句并将SQL语句存储在此对象中,可以使用此对象多次高效的执行该语句 CallableStatement: 用于执行SQL存储过程 这个接口
statement对象执行DDL语句
cledwyn
07-10 1392
statement对象执行DDL语句 import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; import org.junit.Test; /** * 使用Statement对象执行静态的SQL语句 */ publ...
JDBC-使用Statement操作数据库的弊端
weixin_49984174的博客
08-10 354
使用Statement操作数据库的弊端 问题一:存在拼串操作 假设情景如下:当从控制台输入需要在数据库查询的用户名密码时,此时存在拼串操作操作繁琐且可读性差 问题二:sql注入问题 所以为了避免sql注入问题,用PrepareStatement取代Statement ...
java 数据库提交,java.sql.Statement向数据库提交的语句不可以是SQL语句的()。
weixin_39960503的博客
03-13 136
向数污染大气大气下列项目评价源调查内容的属于三级是(。据库句代方的是评价环境影响原则要求以下中替正确案的关于生态说法。比较对拟响评环境和综合论开发开发域环议的影响重点之一证境影价的就是进行区区区各规划方案分析,提交布局的开等选址模、提交划方括开业结拟议展规案包各规构与、产发区发区、发。判断,语句别要地开的主响识相关响的突出和水开发与土要环能源资源境影境影区环发、分析利用识别,响属性环境、环影响因子...
JAVAWEB开发之mybatis详解(一)——mybatis的入门(实现增删改查操作)、自定义别名、抽取代码块以及动态SQL的使用
06-05 4509
mybatis简介  mybatis是一个Java持久层框架,Java操作关系型数据库使用的是jdbc,mybatis是对jdbc的封装。 mybatis的入门需要掌握以下几点: 1、使用jdbc程序使用原生态的jdbc进行开发存在很多弊端,优点是执行效率高,mybatis弥补了jdbc的缺陷。 2、mybatis的架构(重点)。 3、mybatis的入门程序(重点)。      实
JDBC概念以及使用JDBC操作数据库完成DML DDL DQL语句
qq_43366132的博客
11-14 875
文章目录JDBC的基本使用java语言使用JDBC规范操作数据库(单条更改)*day22_ 2020_11 10*1.DML1.1)使用jdbc完成基本DML删除语句2.使用JDBC操作DDL语句2.1)创建一张新表3.操作DQL语句查询4jdbc相关核心类以及核心接口的API5.手动jdbc工具类封装的应用5.1)手动jdbc工具类的封装5.1.1)src下的jdbc.properties文件,存放的是属性集合需要遍历的数据5.1.2)封装工具类5.2)封装工具类针对DML语句增删改5..3)查询数据库e
jdbc:使用PreparedStatement实现对数据库的增删改查操作
卓汶的博客
03-21 2539
使用PreparedStatement实现CRUD操作 创建Connection对象连接数据库后,创建Statement操作数据库。 CRUD:即为增删改查 PreparedStatementStatement 接口的子接口,但Statement存在弊端。 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatement:S
PreparedStatementSQLException
weixin_30871905的博客
03-16 95
目录 文章背景 目录 问题分析 问题解决 说明 参考文章 版本记录 layout: default title: PreparedStatementSQLException category...
java.sql.SQLException: !Statement.GeneratedKeysNotRequested!
浅瞳夜未的博客
07-01 940
            今天在做JDBC获得自动插入到数据库中内容的主键的时候,莫名报了这个错误:java.sql.SQLException: !Statement.GeneratedKeysNotRequested!  在Mysql的官网文档上查看了一下这个Bug的原因是因为,mysql-connector-java-5.1.7-bin.jar 不支持 getGeneratedKeys()这个...
动态语句长度超过32K的解决方法
47522341的专栏
08-12 5375
 Oracle的varchar2类型最大长度为4000, PLSQL的varchar2最大长度为32767就是32K, 这也是本地动态sql语句能够处理的最大长度.如果动态sql语句过长,就没有办法在一个varchar2变量中存储整个语句,导致execute immediate本地动态sql方式无法使用。但现实中,有些时候确实会碰到超长的动态sql语句,怎么办呢?解决办法就是,使用dbms
sql语句常见异常问题解决方案。
lujiawei00的专栏
02-19 6586
sql语句 异常问题解决方案汇总mysql异常,以及对应的解决方案常见异常1:常见异常2:常见异常3: 汇总mysql异常,以及对应的解决方案 常见异常1: [Err] 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ---- 这种异常 不用多想,肯定是我们的sql语句出现问题
常见SQLException异常
always_my_fault的专栏
12-07 4万+
ORA-00904:  invalid column name 无效列名ORA-00942:  table or view does not exist 表或者视图不存在ORA-01400:  cannot insert NULL into () 不能将空值插入ORA-00936: 缺少表达式ORA-00933: SQL 命令未正确结束ORA-01722: 无效数字:(一般可能是企图将字符串类型的
SQLException错误原因
FromNowOnUntilTheEnd
08-30 1万+
NO SQL statement available错误解决方法
zisongjia的博客
03-06 3312
在程序中出现 NO SQL statement available错误, 解决方法:没有设置SQL,在Query或Table、dataset中写上SQL
com.microsoft.sqlserver.jdbc.SQLServerException: 结果集已关闭
ABC006250的专栏
03-29 4528
提示错误: com.microsoft.sqlserver.jdbc.SQLServerException:结果集已关闭 错误引起原因: ResultSet内嵌套使用ResultSet引起的 问题的引起: 我做了一个简单的demo:      Connection conn = null;      Statement stat = null;      ResultSet r
Oracle Sql语句长度限制问题及解决
热门推荐
haiross的专栏
08-27 4万+
Oracle SQL 语句in长度不得超过1000
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值