Statement 和 PrepareStatement安全机制

最新推荐文章于 2023-03-17 22:10:51 发布
最新推荐文章于 2023-03-17 22:10:51 发布
阅读量851 收藏
点赞数
分类专栏: JAVA基础 文章标签: sql注入 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26519403/article/details/78061234
版权
本文探讨了Statement和PrepareStatement在SQL查询中的应用,重点在于如何使用PrepareStatement来避免SQL注入风险。通过实例展示了Statement在面对SQL注入时可能导致的信息泄露问题,而PrepareStatement则能有效防止此类安全问题。
摘要由CSDN通过智能技术生成


对比 Statement 和 PrepareStatement    使用    PrepareStatement 避免SQL注入

Statement 

一:查询,SQL注入将导致条件过滤无效,直接暴露所有信息。

Connection connection = JDBCUtils.getCon();   //获取连接,省略了连接的步骤
		String stuNo = "123456789' OR '1' = '1";
		//由于一等于一的原因,此条SQL语句执行后,就是永远为真的情况,会查数据库中所有的字段。
		String sql = "SELECT COUNT(*) FROM tb_stu WHERE stu_no ='"+stuNo+"'";
		//可能会造成SQL注入
		Statement statement = connection.createStatement();//建立连接
		ResultSet resultSet = statement.executeQuery(sql);//执行SQL语句
System.out.println("--------statement---------");
		while(resultSet.next()){//此处将遍历出数据库第一列的所有信息
			System.out.println(resultSet.getStri
最低0.47元/天 解锁文章
小飞飞12
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
JDBC----Statement安全问题与PrepareStatement
mqingo的博客
11-26 990
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
为什么PrepareStatement性能更好更安全
轩1024的博客
08-14 607
行业现实在于面试要求大而全,实际工CRUD。以前我也觉得什么数据库搭建,什么性能优化,什么缓存。都是DBA要考虑的,我们只管CRUD。什么?你们公司连DBA都没有?太落后了吧?现在发现,以前都是井底之蛙,没机会遇到性能问题,而不是没有性能问题。现在基本上出去面试,SQL优化,数据库优化,JDBC底层原理都是硬性指标了。闲话不扯,主题开始吧。 我们Java用SQL操作数据库,有两种方式: 直接提交用Statement statement.executeUpdate("UPDATE Users .
Statement安全问题
qq_40148447的博客
01-24 861
Statement安全问题 ->使用Statement开发步骤: Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/day06", "root", "247436"); //3.创建statement , 跟数据库打交道一定需要这个对象, 一种提供操作sql语句的接口; Sta
为什么要使用PrepareStatement详解
weixin_53227829的博客
03-17 185
创建Statement对象时不使用sql语句做参数,不会解析和编译sql语句,每次调用方法执行sql语句时都要进行sql语句解析和编译操作,即操作相同仅仅是数据不同。就是我们在不知道正确的用户名或者密码的时候,在后面加上or 1=1 也可以获取正确的数据,这就是典型的sql注入。所谓SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下,攻击者通过构造特殊的输入字符串使后端程序错误地识别SQL查询语句中 ·的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。
mybatis学习日记(一)1-预编译PreparedStatement以及jdbc缺点
jqq_apple的博客
12-28 7335
预编译的优点 PreparedStatement是预编译的,对于批量处理可以大大提高效率,也叫JDBC存储过程。 使用 Statement 对象。在对数据库执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 statement每次执行sql语句,相关数据库都要执行sql语句的编译,p
06丨数据库原理:为什么PrepareStatement性能更好更安全?.pdf
07-05
数据库原理:为什么PrepareStatement性能更好更安全】 在数据库编程中,我们经常遇到两种执行SQL语句的方法:Statement和PreparedStatement。尽管Statement看起来更简洁,但在实际应用中,尤其是在使用ORM框架如...
93道网络安全面试题目
07-20
+ 使用预编译的 PrepareStatement + 限制字符串输入的长度 + 有效性检验 + 过滤 SQL 需要的参数中的特殊字符 2. XSS 攻击 * 定义:跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时...
道网络安全面试题目共93道
最新发布
04-11
- 使用预编译的PrepareStatement:确保SQL语句安全执行。 - 有效性检验:再次验证输入数据的合法性。 - 过滤SQL需要的参数中的特殊字符:如单引号、双引号等。 ### 知识点二:XSS攻击及其防范 **定义:** XSS...
网络安全面试题及答案.docx
06-09
防范方法包括使用预编译的 PrepareStatement,限制字符串输入的长度,过滤 SQL 需要的参数中的特殊字符。 2. XSS 攻击:攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作。防范...
PreparedStatement防止SQL注入,麻烦了,但安全
自知者明,知人者智
04-14 575
下面以用户登录为案例,对比使用PreparedStatement和不使用PreparedStatement的区别 先介绍下SQL注入SQL注入:在拼接SQL时,有一些特殊关键字参与字符串的拼接,会造成安全问题 解决SQL注入的问题:使用Preparedstatement对象来解决 预编译的SQL:参数使用?作为占位符 如:select * from user where username=? ...
java.sql.Connection 线程安全吗?
ghimi的博客
03-22 1394
我们日常会用连接池去管理SQL 连接,有没有想过为什么呢?
浅谈 JDBC 中 CreateStatement 和 PrepareStatement 的区别与优劣。
热门推荐
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
JDBC中Connection解惑
深入一点
10-30 1430
 关于JDBC中关于Connection的两个疑问:   1.Connection实例是线程安全的吗?     即一个connection实例,在多线程环境中是否可以确保数据操作是安全的? private static Connection connection;     上述代码,设计会不会有问题? 一个Connection实例,即对应底层一个TCP链接,有些开发者可能考虑到"性能...
JDBC连接池自我总结
weixin_43511944的博客
11-25 176
sql注入漏洞 利用预编译对象来解决,sql提供了一个新的工作平台preparestatment. 这个预编译对象会在创建对象的时候通过提前定义sql语句格式来避免通过字符串拼接问题来避免sql注入漏洞. 可以提高SQL执行的速度(只需要改变参数的sql语句不需要重新创建平台,只需要传入新的参数就可以了) 在执行一条语句的时候理论上statment 比 prepastament 快一些 1.什么是...
java中预处理PrepareStatement为什么能起到防止SQL注入的作用
Ysh-uestc
09-14 497
http://wangming2012.iteye.com/blog/1533402 https://zhidao.baidu.com/question/2268129981072129708.html
preparestatement原理
12-26
PreparedStatement是一种预编译的SQL语句,它可以在执行之前进行编译和优化,然后在多次执行时重复使用。这种机制可以提高数据库的性能和安全性。 PreparedStatement的原理如下: 1. 应用程序创建一个PreparedStatement对象,并将SQL语句作为参数传递给它。 2. 数据库驱动程序接收到PreparedStatement对象后,会将SQL语句发送给数据库服务器。 3. 数据库服务器对SQL语句进行编译和优化,并生成一个执行计划。 4. 执行计划被缓存起来,以便在以后的执行中重复使用。 5. 应用程序可以多次执行PreparedStatement对象,每次执行时只需传递参数,而不需要重新编译和优化SQL语句。 6. 数据库服务器根据缓存的执行计划执行SQL语句,并返回结果给应用程序。 通过使用PreparedStatement,可以避免每次执行SQL语句时都进行编译和优化的开销,提高了数据库的性能。此外,PreparedStatement还可以防止SQL注入攻击,因为它使用参数化查询,将用户输入的数据作为参数传递,而不是将其直接拼接到SQL语句中。 范例:<<引用:GaussDB(for MySQL)对Prepared Statement执行计划进行缓存的基本原理和流程如下图所示:>> ![Prepared Statement执行计划缓存流程](https://example.com/prepared_statement_cache.png)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值