JDBC-03-笔记

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量120 收藏
点赞数
分类专栏: JDBC 文章标签: java mysql sql 数据库 jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24410589/article/details/117414917
版权

SQL防注入攻击

SQL防注入攻击(PreparedStatement)

1. sql注入攻击的演示

  • 在登录界面,输入一个错误的用户名或密码,也可以登录成功
    在这里插入图片描述

2. sql注入攻击的原理

  • 按照正常道理来说,我们在密码处输入的所有内容,都应该认为是密码的组成

  • 但是现在Statement对象在执行sql语句时,将一部分内容当做查询条件来执行了

    String sql = "SELECT * FROM student WHERE name='"+varname+"' and passwd='"+varpasswd+"' ";
页面传参 varname = 'aaa'; varpasswd ='aaa' or '1' = '1'

字符串拼接后的SQL语句
String sql = "SELECT * FROM student WHERE name= 'aaa' and passwd= 'aaa' or '1'='1' ";
这样就能够查询出数据

3. PreparedStatement的介绍

  • @基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。个人对PreparedStatement的防注入攻击有些疑惑,找了点资料查看,看到例如上面的aaa'or'1'='1 这个字符串在PreparedStatement的set方法调用后会变成 'aaa\'or\'1\'=\'1' 会有个转义,这样sql语句就没法像上面那样进行sql语句的拼接了@
  • 预编译sql语句的执行者对象。在执行sql语句之前,将sql语句进行提前编译。明确sql语句的格式后,就不会改变了。剩余的内容都会认为是参数!参数使用?作为占位符
  • 为参数赋值的方法:setXxx(参数1,参数2);
    • 参数1:?的位置编号(编号从1开始)
    • 参数2:?的实际参数
  • 执行sql语句的方法
    • 执行insert、update、delete语句:int executeUpdate();
    • 执行select语句:ResultSet executeQuery();

4. PreparedStatement的使用

/*
	 使用PreparedStatement的登录方法,解决注入攻击
*/
@Override
public User findByLoginNameAndPassword(String loginName, String password) {
    //定义必要信息
    Connection conn = null;
    PreparedStatement pstm = null;
    ResultSet rs = null;
    User user = null;
    try {
        //1.获取连接
        conn = JDBCUtils.getConnection();
        //2.创建操作SQL对象
        String sql = "SELECT * FROM user WHERE loginname=? AND password=?";
        pstm = conn.prepareStatement(sql);
        //3.设置参数
        pstm.setString(1,loginName);
        pstm.setString(2,password);
        System.out.println(sql);
        //4.执行sql语句,获取结果集
        rs = pstm.executeQuery();
        //5.获取结果集
        if (rs.next()) {
            //6.封装
            user = new User();
            user.setUid(rs.getString("uid"));
            user.setUcode(rs.getString("ucode"));
            user.setUsername(rs.getString("username"));
            user.setPassword(rs.getString("password"));
            user.setGender(rs.getString("gender"));
            user.setDutydate(rs.getDate("dutydate"));
            user.setBirthday(rs.getDate("birthday"));
            user.setLoginname(rs.getString("loginname"));
        }
        //7.返回
        return user;
    }catch (Exception e){
        throw new RuntimeException(e);
    }finally {
        JDBCUtils.close(conn,pstm,rs);
    }
}

5. 使用PreparedStatement优化student表的CRUD

public class StudentDaoImpl implements StudentDao {

    @Override
    public ArrayList<Student> findAll() {
        //定义必要信息
        Connection conn = null;
        PreparedStatement pstm = null;
        ResultSet rs = null;
        ArrayList<Student> students = null;
        try {
            //1.获取连接
            conn = JDBCUtils.getConnection();
            //2.获取操作对象
            pstm = conn.prepareStatement("select * from student");
            //3.执行sql语句,获取结果集
            rs = pstm.executeQuery();
            //4.遍历结果集
            students = new ArrayList<Student>();
            while (rs.next()) {
                //5.封装
                Student student = new Student();
                student.setSid(rs.getInt("sid"));
                student.setName(rs.getString("name"));
                student.setAge(rs.getInt("age"));
                student.setBirthday(rs.getDate("birthday"));
                //加入到集合中
                students.add(student);
            }
            //6.返回
            return students;
        }catch (Exception e){
            throw new RuntimeException(e);
        }finally {
            JDBCUtils.close(conn,pstm,rs);
        }
    }

    @Override
    public Student findById(Integer sid) {
        //定义必要信息
        Connection conn = null;
        PreparedStatement pstm = null;
        ResultSet rs = null;
        Student student = null;
        try {
            //1.获取连接
            conn = JDBCUtils.getConnection();
            //2.获取操作对象
            pstm = conn.prepareStatement("select * from student where sid = ? ");
            pstm.setInt(1,sid);
            //3.执行sql语句,获取结果集
            rs = pstm.executeQuery();
            //4.遍历结果集
            if (rs.next()) {
                //5.封装
                student = new Student();
                student.setSid(rs.getInt("sid"));
                student.setName(rs.getString("name"));
                student.setAge(rs.getInt("age"));
                student.setBirthday(rs.getDate("birthday"));
            }
            //6.返回
            return student;
        }catch (Exception e){
            throw new RuntimeException(e);
        }finally {
            JDBCUtils.close(conn,pstm,rs);
        }
    }

    @Override
    public int insert(Student student) {
        //定义必要信息
        Connection conn = null;
        PreparedStatement pstm = null;
        int result = 0;
        try {
            //1.获取连接
            conn = JDBCUtils.getConnection();
            //2.获取操作对象
            pstm = conn.prepareStatement("insert into student(sid,name,age,birthday)values(null,?,?,?)");
            //3.设置参数
            //pstm.setInt(1,null);
            pstm.setString(1,student.getName());
            pstm.setInt(2,student.getAge());
            pstm.setDate(3,new Date(student.getBirthday().getTime()));
            //4.执行sql语句
            result = pstm.executeUpdate();
        }catch (Exception e){
            throw new RuntimeException(e);
        }finally {
            JDBCUtils.close(conn,pstm);
        }
        return result;
    }

    @Override
    public int update(Student student) {
        //定义必要信息
        Connection conn = null;
        PreparedStatement pstm = null;
        int result = 0;
        try {
            //1.获取连接
            conn = JDBCUtils.getConnection();
            //2.获取操作对象
            pstm = conn.prepareStatement("update student set name=?,age=?,birthday=? where sid=? ");
            //3.设置参数
            pstm.setString(1,student.getName());
            pstm.setInt(2,student.getAge());
            pstm.setDate(3,new Date(student.getBirthday().getTime()));
            pstm.setInt(4,student.getSid());
            //4.执行sql语句
            result = pstm.executeUpdate();
        }catch (Exception e){
            throw new RuntimeException(e);
        }finally {
            JDBCUtils.close(conn,pstm);
        }
        return result;
    }

    @Override
    public int delete(Integer sid) {
        //定义必要信息
        Connection conn = null;
        PreparedStatement pstm = null;
        int result = 0;
        try {
            //1.获取连接
            conn = JDBCUtils.getConnection();
            //2.获取操作对象
            pstm = conn.prepareStatement("delete from student where sid=? ");
            //3.设置参数
            pstm.setInt(1,sid);
            //4.执行sql语句
            result = pstm.executeUpdate();
        }catch (Exception e){
            throw new RuntimeException(e);
        }finally {
            JDBCUtils.close(conn,pstm);
        }
        return result;
    }
}
寻7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC-01笔记
m0_48670438的博客
08-23 122
JDBC-01笔记 一、JDBC入门 1.jdbc的概念 JDBCJava DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系型数据库提供统一访问,它是由一组用Java语言编写的类和接口组成的。 2.jdbc的本质 其实就是java官方提供的一套规范(接口)。用于帮助开发人员快速实现不同关系型数据库的连接! 3.jdbc的快速入门程序 导入jar包 注册驱动 Class.forName(“com.mysql.jdbc.Dri
JDBC 笔记
余木尘的博客
09-08 141
定义 JDBCJava database connectivity Java数据库连接 本质:Java提供了一套接口,数据库厂商实现这些接口,从而连接数据库 JDBC提供的常见的接口和类 Driver:驱动接口 —每个驱动程序类必须实现的接口 DriverManager:管理驱动的类----管理一组 JDBC 驱动程序的基本服务 Connection:连接数据库接口----与特定数据库的连接...
JavaWeb实现简单的用户注册登录(入门级)
热门推荐
polarday的博客
10-24 7万+
JavaWeb实现简单的用户注册登录 代码主要参考的以下博客,我自己修改了一些,可以让刚入门的同学(我自己)更好的理解。 https://blog.csdn.net/caojianhua2018/article/details/92412453 项目结构 dao:这个包下主要是一些关于数据库的操作 dao.DButils:数据库的创建和删除 dao.LoginDaolmp:数据库与用户的交互操作,包括检验用户登录的账号是否合法,当用户注册时将账号插入数据库。 Servlet:实现javaweb的前后端交互
防止sql注入方法之预编译
波波豆奶
06-08 1022
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
SQL注入的一些示例及解决SQL注入的方法
weixin_43618785的博客
03-09 8626
解决SQL注入的方法
MySQL-SQL注入问题(预编译处理)
Just__2009的博客
10-19 818
当服务器向数据发送访问请求,在sql语句中夹杂特殊字符,在与查询语句进行拼接时,导致sql语句产生了歧义。 当用户登陆时,加入输入的帐号或密码并不存在,但是在帐号或密码中输入如下: a' or 'a'='a 此时结果会显示为登陆成功。 原查询语句: select name from users where username=‘帐号’ and password = ‘密码’ 拼接后 select name from users where username=‘123’ and password = ‘a’
关于预编译语句PreparedStatement 的 setString类方法传NULL值到sql进行预编译时报 POINT EXCEPTION空指针异常总结
qq_41795198的博客
03-14 2347
关于预编译语句PreparedStatement 的 setString类方法传NULL值到sql进行预编译时报 POINT EXCEPTION空指针异常总结 1、在实际应用中会出现这种需求,所以将我的经验进行记录,也方便他人,有什么其他思路也可以交流一下。 2、实际代码如下: 首先是需要执行的sql语句 private static String INSERT_RKK_YWGL_SQ...
JDBC-Mybatis-集合-树-网络-笔记.java
02-27
JDBC-Mybatis-集合-树-网络-笔记.java
JDBC 实战教程-尚硅谷学习笔记 ,2022版
03-24
**JDBC实战教程-尚硅谷学习笔记 2022版** Java Database Connectivity(JDBC)是Java语言中用于与数据库交互的一种接口,由Sun Microsystems公司开发并纳入Java标准库,使得Java程序员能够以标准化的方式来访问各种...
JDBC学习笔记(精华版)-1
04-19
本篇JDBC学习笔记将深入探讨JDBC的核心概念、操作步骤以及最佳实践。 **一、JDBC基本概念** 1. **驱动程序**:JDBC驱动程序是Java应用程序与数据库之间的桥梁,分为四种类型:JDBC-ODBC桥接驱动、本地API驱动、...
JDBC基础-Java学习笔记
05-28
JDBC是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用...
jdbc、PreparedStatement预编译原理
qq_43369986的博客
05-18 937
PreparedStatement预编译原理 https://www.zybuluo.com/stefanlu/note/254899 前提知识 MySQL预编译 只使用PreparedStatement无法使用预编译功能,因为mysql默认不开启预编译,需要连接db时添加useServerPrepStmts=true参数,例如 jdbc:mysql://127.0.0.1:3306/user?useServerPrepStmts=true 注意:useServerPrepStmts=true参数只对此次连
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
编译预处理机制(SQL注入问题解决原理)
lf1949的博客
03-24 2553
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译和sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译和sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
利用预编译来SQL注入
m0_51428325的博客
12-26 901
在做CTF时遇到这样一个题目,注入点过滤了SELECT和.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式: id=1';show tables;%23 但是没法查询字段,于是就可以利用构建预编译语句来绕过过滤。 利用此方法的前提是支持多语句查询。 先来谈谈什么叫预编译,实际上它经常被用来防止SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,预编译的目的就在于解决这一点。 我们常见的有关防止SQL注入的预编译手段都是基于后端代码的,即PHP或J
[20][04][20] SQL 预编译防止 SQL 注入
安全新司机
01-10 2806
文章目录1. 预编译的作用1.1 提高效率1.2 防止 SQL 注入2. 预编译的实现原理2.1 mysql 的预编译2.2 mybatis 是如何实现预编译 1. 预编译的作用 1.1 提高效率 数据库接受到 sql 语句之后,需要进行词法和语法解析校验,优化 sql 语句,制定执行计划.这需要花费一些时间.但是很多情况,我们的一条 sql 语句可能会反复执行,或者每次执行的时候只有个别的值不同 (比如 query 的 where 子句值不同,update 的 set 子句值不同,insert 的 val
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2941
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
配置Java开发环境
最新发布
Broken_x的博客
07-10 1462
Java开发环境配置
Mybatis学习笔记
02-26
Mybatis学习笔记 个人学习笔记,仅供参考哦,部分内容可能有误,懒得修改啦。 1. JDBC的不足之处 1.1 JDBC JDBCJava Database Connectivity的缩写,用于操作数据库JDBC在进行数据库操作时,存在一些不足之处。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值