Java SQL注入问题

最新推荐文章于 2024-04-28 16:02:13 发布
最新推荐文章于 2024-04-28 16:02:13 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29319189/article/details/100096044
版权

说明:导致信息泄露或者数据被篡改。

防止SQL注入的建议

使用参数化查询:最有效的防护手段,对于sql语句中的表名、字段名、部分场景下的in条件不适用;

对不可信数据进行白名单校验:适用于拼接sql语句中的表名、字段名;

对不可信数据进行转码:适用于拼接到sql语句中的由引号限制的字段。

 

Statement 用于执行不带参数的简单SQL语句,并返回它所生成结果的对象,每次执行SQL语句时,数据库都要编译SQL语句。容易产生SQL注入问题。

PreparedStatement 表示预编译的SQL语句的对象,用于执行带参数的预编译SQL语句。注入支队SQL语句的编译过程有破坏作用,而执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,因此可以避免了类似select * from user where name='aa' and password = 'bb' or 1 =1;的SQL注入问题的发生。

Statement 查询例子:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;


class SqlInjection {
    public static void main(String[] args) {
        String driver = "com.mysql.jdbc.Driver";
        // String url =
        // "jdbc:mysql://localhost:3306/students?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC";
        String url = "jdbc:mysql://localhost:3306/students";
        String user = "root";
        String password = "123456";
        Connection con = null;
        Statement statement = null;
        ResultSet resultSet = null;

        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url, user, password);
            if (!con.isClosed()) {
                System.out.println("数据库连接成功");
            }
            statement = con.createStatement();
            String name = "zhangsan";
            // String name = "zhangsan' or 'a' = 'a";
            int age = 20;
            String sqlQuery = "select * from student where age=" + age + " and name='" + name + "'";
            resultSet = statement.executeQuery(sqlQuery);
            while (resultSet.next()) {
                System.out.println("id: " + resultSet.getInt("id") + "  name: " + resultSet.getString("name")
                    + "  age: " + resultSet.getInt("age"));
            }

        } catch (ClassNotFoundException e) {
            System.out.println("数据库驱动没有安装");
        } catch (SQLException sqlException) {
            System.out.println("数据库连接失败");
        } finally {
            try {
                if (resultSet != null) {
                    resultSet.close();
                }
                if (statement != null) {
                    statement.close();
                }
                if (con != null) {
                    con.close();
                }
            } catch (SQLException e) {
                System.out.println(e.getMessage());
            }
        }
    }
}

 

PreparedStatement 例子:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

class SqlInjectionPreparedStatement {
    public static void main(String[] args) {
        String driver = "com.mysql.jdbc.Driver";
        String url =
            "jdbc:mysql://localhost:3306/students?useUnicode=true&characterEncoding=UTF-8&useJDBCCompliantTimezoneShift=true&useLegacyDatetimeCode=false&serverTimezone=UTC";
        String user = "root";
        String password = "123456";
        Connection con = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;

        try {
            Class.forName(driver);
            con = DriverManager.getConnection(url, user, password);
            if (!con.isClosed()) {
                System.out.println("数据库连接成功");
            }
            String sqlQuery = "select * from student where age=? and name=?";
            preparedStatement = con.prepareStatement(sqlQuery);

            String name = "zhangsan' or 'a' = 'a";
            int age = 20;

            preparedStatement.setInt(1, age);
            preparedStatement.setString(2, name);
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                System.out.println("id: " + resultSet.getInt("id") + "  name: " + resultSet.getString("name")
                    + "  age: " + resultSet.getInt("age"));
            }

        } catch (ClassNotFoundException e) {
            System.out.println("数据库驱动没有安装");
        } catch (SQLException sqlException) {
            System.out.println("数据库连接失败");
        } finally {
            try {
                if (resultSet != null) {
                    resultSet.close();
                }
                if (preparedStatement != null) {
                    preparedStatement.close();
                }
                if (con != null) {
                    con.close();
                }
            } catch (SQLException e) {
                System.out.println(e.getMessage());
            }
        }
    }
}

 

 

 

 

 

 

 

 

 

Everyday-smile
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈JavaSQL注入问题
weixin_42603304的博客
03-07 2383
SQL注入什么是SQL注入Mybatis下SQL注入如何解决SQL注入 什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 Mybatis下SQL注入 Mybatis的SQL语句可以基于注解的方式在类方法上面,更多的是以xml的方式到xml文件。Mybatis中SQL语句需要我们自己手动编或者用generator自动生成。 编xml文件时,Mybatis支持两种参数符号,一种是#,另一种是$。 Java
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
JavaSQL注入问题
bea_java的专栏
08-20 2431
 随着B/S模式应用开发的发展,使用这种模式编应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,
JAVA】防范于未然:Java项目SQL注入预防四招
一个天蝎座的程序猿
04-28 296
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列此时,数据库的数据都会被清空掉,后果非常严重。
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 677
Java模拟SQL注入问题及解决方案
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求中的参数中含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!...外网可能会被攻击,简单的处理可以避免!...
java 过滤器filter防sql注入的实现代码
09-01
Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
SQL注入问题以及解决方法
spsglz的博客
11-11 1217
sql注入 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 -- 代码中的SQL语句 "SELECT * FROM user WHERE name='" + name + "' A...
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java】JDBC中的SQL注入问题和解决方案
DreamSun的博客
03-16 870
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。可以防止sql注入由于使用了预编译机制,执行的效率要高于Statementsql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql。
Java代码审计安全篇-常见Java SQL注入
m0_63138919的博客
03-05 755
本文章参考qax的网络安全java代码审计,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
JAVA 安全性转码代码(包括sql注入,跨站脚本)
weixin_30892987的博客
08-15 170
例子: column_type = SecurityString.getHtml(column_type);column_type = SecurityString.getValidSQLPara(column_type); 实现: 1 public class SecurityString { 2 3 public sta...
Java安全编码小结
loveoobaby的博客
04-05 4907
平时开发中要养成安全意识,建立攻击者思维,编可靠健壮的代码 1. 安全编码的基本原则 外部输入都是不安全的,需严格校验; 建立防御性编程的策略; 尽量减少代码的攻击面,避免与环境过多的交互,代码尽量简单; 避免程序内部的处理流程暴露到外部环境; 2. 数据的校验 2.1 外界传入的数据要严格校验,常用的策略有白名单(只接受安全的)、黑名单(拒绝已知非安全)、数据净化(编码、替换特殊字符、删除特殊字符等); 2.2 禁止使用外部不可信数据直接拼接SQL,防止SQL注入。防止SQL注入的措施有: 使.
java获取数据库数据的字符编码及转码
java开发鼻祖
08-07 3534
1. 编测试类 package com.hontye.parameter.service.impl; import java.io.UnsupportedEncodingException; import java.net.URLEncoder; import java.sql.*; public class Test { public static void main(Stri...
优秀开源项目之Shift-etl,从此告别无意义加班
qq_40051751的博客
10-16 420
前言 这是一个简单轻量的ETL(Extract-Transform-Load)工具,简单到您花5到10分钟的时间读完这篇文章便可以了然它的使用方法,如果你有数据接口对接的业务场景,你可以参考它。 它会以数据库配置的方式,帮助你实现数据接口对接,减少重复编码的工作量,同时可以随时灵活调整、降低后续业务调整带来的影响。 它的核心代码只有三页,分别是EtlExtractService (数据抽取类)、EtlProcessService (数据处理类)、EtlLoadService (数据加载类); 然后这是它的g
SQL URL编码跟汉字相互转换
xiaoqiaoluanwu的博客
11-20 2014
URL编码转为汉字: 转码前:%E5%B0%8A%E6%95%AC%E7%9A%84%E4%BC%9A%E5%91%98 转码后:尊敬的会员 SELECT dbo.FN_URLDecode('%E5%B0%8A%E6%95%AC%E7%9A%84%E4%BC%9A%E5%91%98') create FUNCTION [dbo].[FN_URLDecode] ( @Str VARCHAR(8000)--已经编码的字符串 ) RETURNS VARCHAR(8000) A...
java sql注入
最新发布
06-24
SQL注入(SQL Injection)是一种常见的网络安全漏洞,发生在应用程序没有正确验证或转义用户输入时,恶意用户可以利用这种方式执行任意SQL查询。攻击者可以通过构造特殊格式的输入数据,将这些数据作为SQL命令的一部分,欺骗应用程序执行原本不应该执行的操作。 以下是SQL注入的基本原理和防范措施: 1. 原理:攻击者输入的数据可能会被应用程序误认为SQL语法,比如插入、修改或删除数据库中的记录。例如,攻击者可能会输入`' OR 1=1 --`,这会使得原本的查询变成`SELECT * FROM users WHERE username = 'username' OR 1=1 --`,从而绕过权限控制获取所有数据。 2. 防范方法: - 参数化查询(PreparedStatement)或预编译语句:使用占位符或参数化的方式提交SQL,数据库会自动处理输入的安全性。 - 输入验证:对用户输入进行严格的验证和过滤,确保只接受预期的格式和内容。 - 使用ORM框架:许多现代框架提供了安全的API来操作数据库,避免直接拼接SQL字符串。 - 采用安全的编码技术:如对特殊字符进行转义,减少恶意代码的执行机会。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值