JDBC(PreparedStatement,sql注入)

最新推荐文章于 2023-10-07 08:49:31 发布
最新推荐文章于 2023-10-07 08:49:31 发布
阅读量602 收藏
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25235807/article/details/65448751
版权

sql注入

SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。简单的说就是由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。

假设我的数据库中存在以下数据:

username password
 张三       123

当我在登陆页面 进行登陆的时候去查询数据库执行以下操作:

select *from test where username='张三' and password='123';

当密码错误的时候我们是不能登陆的。查询为null但是如果
在输入用户名时 tom’ or ‘1’=’1这时就不会验证密码了。

select *from test where username='张三' or '1'='1' and password='13';

这样不需要验证密码即可登陆 。

PrepareStatement

PreparedStatement statement = con.prepareStatement("select * from test where username=? and password= ? ");
        statement.setString(1,"张三");
        statement.setString(2,"123");
        ResultSet resultSet = statement.executeQuery();

         while(resultSet.next()){
             int id = resultSet.getInt(1);
             String name = resultSet.getString(2);
             String password = resultSet.getString(3);
             System.out.println(id+".."+name+".."+password);

         }

他会预编译sql语句 使用占位符? 再传入数据就不会将用户的输入作为关键字而是都作为字符串这样避免动态拼装sql 发生sql注入 。

各种西瓜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdbcsql注入
林高禄
06-24 9006
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
JDBC之【SQL注入
weixin_48485216的博客
04-16 1556
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBC-用户登录(不安全)
whatname123的博客
09-07 206
package jdbc; import java.sql.*; import java.util.Scanner; import com.mysql.cj.protocol.Resultset; import com.mysql.cj.x.protobuf.MysqlxCrud.Collection; public class jdbc2 { public static void main(String[] args) throws Exception { // TODO 自动生成的方法存根
jdbc——sql注入
m0_72960906的博客
10-31 960
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBCSQL注入
qq_46093575的博客
05-16 231
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库。
Mybatis防止sql注入的实例
08-30
其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,...
sqljdbc和sqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
JDBC连接sqlserver与mysql
06-01
此外,为了增强代码的健壮性和安全性,应考虑使用`PreparedStatement`来防止SQL注入,并使用try-with-resources语句自动关闭资源。 总结来说,JDBC为Java开发者提供了统一的接口来访问各种数据库,无论是SQL Server...
sqljdbc4.jar
11-22
预编译的`PreparedStatement`还可以防止SQL注入攻击。 3. 结果集处理:`ResultSet`对象用于存储查询结果,开发者可以通过迭代遍历,获取并处理每一行数据。 4. 事务管理:`Connection`对象提供了开始、提交和回滚...
jdbc中的sql注入
a8153285的博客
04-23 245
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
Statementsql注入问题
cnbird's blog
03-15 2142
SQL注入,PreparedStatementStatement * 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 * PreperedStatement(从Statement扩展而来)相对Statement的优点:       1.没有SQL注入
JDBC SQl注入
qq_61630897的博客
02-11 1028
首先创建jdbc工具类 public class DBUtils { //静态加载 static { try { Class.forName("com.mysql.jdbc.Driver"); } catch (ClassNotFoundException e) { e.printStackTrace(); } } /** * 获取连接 * *
Java中StatementSQL注入问题
m0_63217468的博客
08-26 916
Java中StatementSQL注入问题
JDBCSQL注入
最新发布
每日一记,每周一结。
10-07 694
PreparedStatementStatement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
JDBC-PreparedStatement类详解(解决SQL注入)
qq_43531919的博客
07-26 462
PreparedStatement:执行sql的对象 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a' or 'a' = 'a 2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 2. 解决sql注入问题:使用PreparedStatement对象来解决 3. 预编译的SQ
JDBCSQL注入攻击
qq_45061361的博客
06-05 523
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
【Java编程】JDBC注入攻击-Statement 与 PreparedStatement
andieguo的专栏
05-14 3337
在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了如何使用JDBC驱动建立一个简单的连接,并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比较Statement和PreparedStatement。当然这两者还有很多其他方面的不同,在之后的blog中会继续更新。
JDBCSQL注入
Thumb_的博客
02-22 174
-- 创建一张表 CREATE TABLE admin( name VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '' )CHARACTER SET UTF8; -- 添加数据 INSERT admin VALUES('tom', '123'); -- 查找某个管理是否存在 SELECT * FROM admin WHERE name = 'wy' AND pwd = '123'; -- SQL -- 输入用户名 为 1'.
Java JDBC PreparedStatement详解与应用
PreparedStatementJDBC中用于预编译SQL语句的接口,提高了代码的可读性和执行效率,同时也提供了参数化的设置,避免SQL注入问题。" JDBC(Java Database Connectivity)是Java平台中用于与各种数据库进行交互的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值