复习_JDBC和sql注入问题

最新推荐文章于 2024-01-12 18:56:55 发布
最新推荐文章于 2024-01-12 18:56:55 发布
阅读量193 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24099547/article/details/105536591
版权

JDBC的全称为:java database connectivity (java和 数据库的连接 )
在这里插入图片描述
JDBC六步

  1. 注册驱动
  2. 建立数据库的连接
  3. 通过con连接获取到Statement实例
  4. statement执行sql语句,查询到的结果集到ResultSet实例
  5. 从结果集中获取数据
  6. 释放资源
package JDBC;

import com.mysql.jdbc.Driver;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.*;
import java.util.Properties;

public class JDBCTest {

    public static void main(String[] args) throws SQLException, ClassNotFoundException {
        Connection con = null;
        Statement statement = null;
        try {
            //获取连接
            con = getConnection();
            //创建statement
            statement = con.createStatement();
            // 执行添加语句
            String sql = "insert into user values('116','zhaoliu',28)";
            statement.executeUpdate(sql);
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }finally{
            //释放资源
            release(con, statement, null);
        }
    }

    private static  String driverClass = "";
    private static String url = "";
    private static String username = "";
    private static String password = "";

    //解析properties文件只需要执行一次,所以放在静态代码块中
    static{
        //首先创建Properties对象
        Properties properties = new Properties();
        //加载文件
        try {
            properties.load(new FileInputStream("src/jdbc.properties"));
            //获取参数
            driverClass = properties.getProperty("driverClass");
            url = properties.getProperty("url");
            username = properties.getProperty("username");
            password = properties.getProperty("password");
            Class.forName(driverClass);
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }

    public static Connection getConnection(){
        Connection con = null;
        try {
            //2.获取连接
            con = DriverManager.getConnection(url, username, password);
        } catch (SQLException e) {
            e.printStackTrace();
        }
        return con;
    }

    //释放资源
    public static void release(Connection con,Statement st,ResultSet rs){
        //6.释放资源:先开后关,后开先关,最好放在finally代码块中
        if(rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        if(st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
        if(con!=null){
            try {
                con.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }
    }
}


driverClass=com.mysql.jdbc.Driver
url = jdbc:mysql://localhost:3306/mybd
username = root
password = root

2.sql注入问题

sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。

案例:模拟登陆
执行如下sql语句:创建一个day06数据库,创建一张user表,表中插入一条数据。

create table user(
id varchar(10) primary key,
username varchar(10),
password varchar(10)
);
insert into user values('1','admin','123456');

package JDBC;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class Login {
    public static void main(String[] args) {
        String username = "admin' -- ";
        String password = "123";
        Connection con = null;
        Statement statement = null;
        ResultSet resultSet = null;
        try {
            //首先获取连接
            con = JDBCUtil.getConnection();

            //创建statement对象
            statement = con.createStatement();
            //发送sql语句,查询数据库是否存在这个用户
            String sql = "select count(*) from user where username='" + username + "' and password = '" + password + "'";
            resultSet = statement.executeQuery(sql);

            int count = 0;
            while (resultSet.next()) {
                count = resultSet.getInt(1);
            }
            //如果不存在
            if (count == 0) {
                System.out.println("用户登录失败");
            } else {
                //存在
                System.out.println("用户登录成功");
            }
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            JDBCUtil.release(con, statement, resultSet);
        }
    }
}

执行代码,可以发现用户名为 admin’ – ,密码为 1234 这样的用户是不存在的,但是尽然可以登录成功。那么这是什么原因造成的呢?
将字符串拼接后的sql语句放在可视化工具中查看发现如下情况:
在这里插入图片描述
可以发现,后面密码的验证被注释掉了。这样岂不是谁都可以登录了?

问题根本原因:
语句和用户输入的内容进行拼接,发送给数据库编译的时候,数据库将用户输入的内容当成sql语句编译了。
从而从根本上改变了我们开发者所期望sql语句原有的含义。导致程序受到sql攻击。那么原因知道了,我们怎么解决的?

问题的解决方案:
我们需要首先将sql语句所代表的含义确定下来,然后再向编译好的sql语句中填充用户输入的内容。这样用户输入的内容就不会再被编译了。所以需要我们学习preparedStatement向数据库发送预编译的sql语句。

2.1 PreparedStatement解决sql注入 重要步骤:

PreparedStatement是Statement的子接口,它的实例对象可以通过调用Connection.preparedStatement(sql)方法获得
注意:sql提前创建好的。sql语句中需要参数。使用?进行占位。

  1. conn.prepareStatement(sql);
    需要你事先传递sql。如果sql需要参数,使用?进行占位。
  2. 设置参数(执行sql之前):prepStmt.setXXX(int index, 要放入的值)
    根据不同类型的数据进行方法的选择。第一个参数表示的是?出现的位置。从1开始计数,有几个问号,就需要传递接个参数。方法的参数说明:
    第一个参数:int index ;表示的是问号出现的位置。 问号是从1开始计数
    第二个参数:要问号的位置传入的值。
  3. 执行,不需要在传递sql了。
    prepStmt.executeQuery();—执行select
    prepStmt.executeUpdate();—执行insert,delete,update
package JDBC;

import java.sql.*;

public class Login {
    public static void main(String[] args) {
        String username = "admin";
        String password = "123456";
        Connection con = null;
        PreparedStatement prepareStatement = null;
        ResultSet resultSet = null;
        try {
            //首先获取连接
            con = JDBCUtil.getConnection();

            String sql = "select COUNT(*) from user where username=? and password = ?";
            //创建preparedStatement对象,对sql进行编译
            prepareStatement = con.prepareStatement(sql);
            // 设置参数
            prepareStatement.setString(1, username);
            prepareStatement.setString(2, password);
            resultSet = prepareStatement.executeQuery();
            int count = 0;
            while (resultSet.next()) {
                count = resultSet.getInt(1);
            }
            //如果不存在
            if (count == 0) {
                System.out.println("用户登录失败");
            } else {
                //存在
                System.out.println("用户登录成功");
            }
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } finally {
            JDBCUtil.release(con, prepareStatement, resultSet);
        }
    }
}
sp_wxf
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中南大学软件学院架构复习大全.docx
11-15
另一个ORM解决方案是iBatis,它提供了一层简单的JDBC抽象,允许直接使用SQL查询,更适合需要高度定制查询的情况。 2. **OGNL**:对象图导航语言(OGNL)是一种强大的表达式语言,用于访问和操作Java对象的属性,...
Javaweb期末考试复习资料 有上课所需源码
01-05
复习时,你需要了解如何加载驱动、建立连接、执行SQL语句以及处理结果集。 四、JSTL与EL表达式 JSTL(JavaServer Pages Standard Tag Library)是JSP的一种标准标签库,可以替代脚本语言提高代码可读性。EL...
JDBCSQL注入
离开屏幕的光,哪盏灯照亮你的孤独?
02-19 332
SQL注入,PreparedStatementStatement 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 PreperedStatement(从Statement扩展而来)相对Statement的优点: 没有SQL注入问题。 Stateme...
JDBCSQL注入
qq_46093575的博客
05-16 226
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库。
jdbc链接数据库以及sql注入-基本
weixin_45489487的博客
01-12 110
文章目录sql注入jdbc链接数据库 图 sql注入 sql注入指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的sql语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据库信息。 jdbc链接数据库 图 package jdbcTest; import java.sql.*; public class Test1 { private final String
java连接数据库的Connection中的prepareStatementcreateStatement的区别
ilaveyou68的专栏
04-23 4322
这两者的区别主要在于如何构造执行sql语句的对象, 1,对于prepareStatement来说,其执行返回的是一个prepareStatement对象,而这个方法的描述是这样的,prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。它需要一个参数,这个参数就是需要执行的sql语句。而createSt
java多线程累加计数
安迪爸爸
03-21 3万+
java多线程计数 题目 给定count=0;让5个线程并发累加到1000; 思路 创建一个类MyRunnable,实现Runnable(继承Thread类也可) 定义一个公共变量count(初始值为0),5个线程都可以访问到; 创建5个线程并发递增count到1000; 方法 方法一 将count公共变量放到测试类Test的类成员变量里,将MyRunnable类作为Te...
JDBC中文笔记.zip
03-27
SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意SQL代码,欺骗数据库执行非预期操作。使用`PreparedStatement`可以有效防止此类攻击,因为它会自动转义特殊字符。 5. **JDBC中的对象** - **Connection**: ...
基于SSM及前后端分离的复习系统
07-09
1. **Spring框架**:Spring是核心容器,负责管理对象的生命周期和依赖注入(DI)。它还提供了AOP(面向切面编程)功能,用于实现如日志、事务管理等通用功能。Spring还支持数据访问/集成,包括JDBC、ORM(对象关系...
《JavaEE程序设计》复习资料
12-01
《JavaEE程序设计》是Java开发领域中一门深入学习企业级应用开发的课程,涵盖了诸如Servlet、JSP、JDBC、EJB、Spring、Hibernate、Struts等核心技术和框架。这些复习资料旨在帮助学习者巩固JavaEE平台上的编程技能,...
jdbc Connection接口中的方法prepareStatementcreateStatement的区别
A1369933164的博客
04-17 803
这里写自定义目录标题*jdbc Connection接口中的方法prepareStatementcreateStatement的区别**欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 *
JDBC02-ResultSet、Statement、PreparedStatement介绍及使用
weixin_42482333的博客
04-05 609
sql注入JDBC的API
JDBC PrepareStatement 的使用(附各种场景 demo)
最新发布
热爱数据库的小胖
01-12 2846
1)PreparedStatement 继承自 Statement ,是 Statement 的一种扩展;2)PreparedStatement 特点:使用 PreparedStatement 可以执行动态参数化 sql(在 sql 语句中用占位符?
浅谈 JDBCCreateStatement 和 PrepareStatement 的区别与优劣
machinecat0898的专栏
04-23 1712
本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就
浅谈 JDBCCreateStatement 和 PrepareStatement 的区别与优劣。
热门推荐
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
JDBCCreateStatement 和 PrepareStatement 的区别
言诺liang
09-26 4007
在学习JDBC的时候碰到一个问题。获取向数据库发送sql语句的statement对象有两种类似的接口这两个接口没有本质上的区别。都是通过对象调用executeQuery方法来执行SQL语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别。 第一点: conn.=JdbcUtils.get...
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码中sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
为啥jdbc问号占位符可以防注入
yang_best的专栏
02-09 5771
先看下面用占位符来查询的一句话 String sql = "select * from administrator where adminname=?"; psm = con.prepareStatement(sql); String s_name ="zhangsan' or '1'='1"; psm.setString(1, s_name); 假设数据库表中并没有zhangsan
JDBC要点总结、SQL注入示例(Statement和PreparedStatement
厚积而薄发,谋定而后动
03-23 8063
一、三个重要对象:    a.Connection   代表着Java程序与数据库建立的连接。    b.Statement   代表SQL发送器,用于发送和执行SQL语句。    c.ResultSet   代表封装的数据库返回的结果集,用于获取查询结果。 二、编程步骤:          1、加载驱动(需要事先将驱动程序对应的jar文件放到classpath对应的
java web期末复习_javaweb期末复习知识点整理
06-02
- SQL注入攻击和防御 6. 框架 - Spring框架的概念和作用 - Spring MVC的实现方式和优势 - Mybatis框架的概念和作用 7. Web容器 - Tomcat的作用和实现方式 - WebLogic的作用和实现方式 - Jetty的作用和实现方式 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值