SQL注入及预状态通道PreparedStatement

最新推荐文章于 2022-04-17 06:20:59 发布
最新推荐文章于 2022-04-17 06:20:59 发布
阅读量177 收藏 1
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q978090365/article/details/116209280
版权
就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL 命令。
具体来说,它是利用现有应用程序,将(恶意的) SQL命令注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入(恶意) SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。
比如先前的很多影视网站泄露 VIP会员密码大多就是通过WEB 表单递交查询字符暴出的,这类表单特别容易受到 SQL 注入式攻击。 
String username ="admin"; 
String password=" 'abc' or 1=1 "; 
String sql="select * from users where username= '"+username+"' and password= "+password;
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(sql);

上段代码就会欺骗到我们的数据库,因为password这一栏永远为真。

所以就需要用到PreparedStatement预状态通道来防止SQL注入的发生。

PreparedStatement 接口扩展了 Statement接口,此语句可以动态地提供参数。
我们首先给出一个预状态通道的示例。 
PreparedStatement pstmt = null;
try {
    String SQL = "Update Employees SET age = ? WHERE id = ?";
    PreparedStatement pps = conn.prepareStatement(SQL);
    pps.setInt(1,18);
    pps.setString(2,'2021001');
    ResultSet resultSet = statement.executeQuery(sql);
}
catch (SQLException e) {

}finally {
    pps.close(); 
}

我们发现sql语句中包含?这个符号。

JDBC中的所有参数都由?符号,这被称为参数标记。在执行SQL语句之前,必须为每个参数提供值。

预状态通道所提供的setXXX()方法将值绑定到所述参数,其中XXX代表要绑定到输入参数的值的Java数据类型。如果忘记提供值,将收到一个SQLException

每个参数标记由其顺序位置引用。第一个标记表示位置1,下一个位置2等等。但是该方法与Java数组索引不同,它是从0开始。

下面我们来进行一下Statement和PreparedStatement的对比:

(如果对Statement不熟悉,请参考这篇博文:Statement)

(1)statement属于状态通道,PreparedStatement属于预状态通道

(2)预状态通道会先编译sql语句再去执行,比statement执行效率高

(3)预状态通道支持占位符?,给占位符赋值的时候,位置从1开始

(4)预状态通道可以防止sql注入,原因:预状态通道在处理值的时候以字符串的方式处理

22岁,是学生
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入--(错误的关键词也能执行成功) --(预处理 PreparedStatement 修正)--02 --ResultSet日常需求
weixin_54687631的博客
05-17 99
/** 对比statement和PreparedStatement; (1)statement属于状态通道,PreparedStatement属于预状态通道 (2)预状态通道会先编译sql语句,再去执行,比statement执行效率高 (3)预状态通道支持占位符?,给占位符赋值的时候,位置从1开始 (4)预状态通道可以防止sql注入,原因:预状态通道在处理值的时候以字符串的方式处理 */ import java.sql.*; public class Demo1 { public static
SQL注入和PreparedStatement接口
sinat_33940108的博客
12-31 298
Statement接口实现登录(不重要) public class StatementLoginDemo { public static void main(String[] args) { Scanner scan = new Scanner(System.in); //提示输入 System.out.println("请输入用户名"); String username = scan.next(); System..
jdbc预处理对象 - PreparedStatement
XiaoJian的博客
09-19 1863
SQL注入问题: 用户 输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 当用户输入密码为: or 1=1 时 , 用户名和密码是什么已经不重要了 , 因为1=1相当于是true , OR关系有一个条件满足 , 用户就会永远登录成功了 . 例: SELECT * FROM users WHERE username=‘a’ AND PASSWORD=‘2’ OR 1=1;...
jdbc
杨恒的博客
06-07 452
一个mysql的查询,将查询到的数据写入到list集合并打印//加载驱动 Class.forName("com.mysql.jdbc.Driver"); //建立连接.通过驱动管理器获取连接对像 String url="jdbc:mysql://127.0.0.1:3306/yangheng"; Stri
JDBC 预状态通道(防止SQL 注入)
白嫖怪的博客
12-05 301
Java 预状态通道(防止SQL 注入) SQL注入 就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎 执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据 库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过 WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。 简单例子
防止SQL注入的PreparedStatemet(预状态通道
@王某人
06-18 210
SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执 行恶意的SQL命令。它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,比如先前的很多影视网站泄露VIP会员密码大多就是通过 WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
JAVA-JDBC之预状态通道防止SQL注入
qq_22535281的博客
04-17 175
我亦无他 唯手熟尔
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2483
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatementStatement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
SQL注入漏洞过程实例及解决方案
09-08
由于`PreparedStatement`在执行查询之前会预编译SQL语句,所以即使输入包含SQL关键字,它们也会被视为普通字符串,不会被解释为SQL命令,从而避免了注入攻击。 除了使用`PreparedStatement`之外,还有其他防护措施...
mybatis防止SQL注入的方法实例详解
08-27
使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 Inject恶意的 SQL 语句。 存储过程 存储过程是防止 SQL 注入的第二种方式。存储过程是一组完成特定功能的 SQL 语句集,经编译后存储在...
sql注入及解决方法.doc
12-29
- 使用预编译的SQL语句或参数化查询,如Java的PreparedStatement,PHP的PDO等。 - 应用输入验证和过滤策略,比如正则表达式匹配,数据类型检查等。 - 限制数据库用户的权限,仅提供执行特定任务所需的权限。 - 实施...
Mybatis防止sql注入的实例
08-30
其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
JDBC与SQL注入
weixin_45600855的博客
03-28 130
JDBC与SQL注入JDBC的简单介绍简介核心组件SQL注入解决办法PreparedStatement(预状态通道) JDBC的简单介绍 简介 JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多 种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可 以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序 核心组件 DriverManager : 此类管理数据库驱动程序
2014-2023年的绿色债券数据.txt
最新发布
07-06
因文件较多,数据存放网盘,txt文件内包含下载链接及提取码,永久有效。失效会第一时间进行补充。样例数据及详细介绍参见文章:https://blog.csdn.net/samLi0620/article/details/140227523
综合素质笔记2024上半年笔记
07-05
综合素质笔记2024上半年笔记
使用SQL语句创建数据表和操作数据
07-05
使用SQL语句创建数据表和操作数据
sql注入预编译的原理
05-23
SQL注入是一种常见的Web安全漏洞,攻击者利用这种漏洞将恶意代码注入到Web应用程序中,从而实现非法的数据操作。为了防止SQL注入攻击,我们可以采用预编译的方式来处理SQL语句。 预编译的原理是将SQL语句和参数分开处理,先将SQL语句发送到数据库进行编译,然后将参数传递给编译后的SQL语句进行执行。这样做的好处是可以避免SQL注入攻击,因为攻击者无法将恶意代码注入到预编译的SQL语句中。 具体来说,预编译的过程分为两步。首先,应用程序将SQL语句发送到数据库进行编译,编译器将SQL语句中的占位符替换成参数。然后,应用程序将参数传递给编译后的SQL语句进行执行。这样做的好处是可以避免SQL注入攻击,因为攻击者无法修改编译后的SQL语句。 例如,在Java中,可以使用PreparedStatement对象来实现预编译。PreparedStatement对象是一个接口,它继承了Statement接口。它可以使用占位符(?)来代替实际的参数。在执行SQL语句之前,可以使用setXXX()方法设置占位符的值。这样做的好处是可以避免SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值