为什么PreparedStatement可以防止SQL注入

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量908 收藏 2
点赞数
分类专栏: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34741165/article/details/87945860
版权

PreparedStatement会对SQL语句进行预编译,在第一次执行SQL语句前,数据库会对语句进行分析、编译、优化。同时执行计划会被数据库缓存起来,它允许数据库进行做参数化查询。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL语句的一部分,而是作为一个字段的属性值来处理。

MyBatis官方例子:

<select id="selectPerson" parameterType="int" resultType="hashmap">
  SELECT * FROM PERSON WHERE ID = #{id}
</select>

相当于是

String selectPerson = "SELECT * FROM PERSON WHERE ID=?";
PreparedStatement ps = conn.prepareStatement(selectPerson);
ps.setInt(1,id);

注:在MyBatis解析xml映射文件的时候,就将#{}替换成?。

假设id的值:"'test' or 1=1"

最后执行的语句是(注:这边生成的语句是由druid的日志里面截取出来的)

select * from PERSON where ID = '''test'' or 1=1'

并不能像用${}一样得到所有值。会被转义掉。

Only丶Big
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis防止SQL注入的方法实例详解
08-27
为什么 SQL 注入攻击存在 SQL 注入攻击存在的原因是因为开发人员没有遵循编程规范。例如,使用字符串拼接构建 SQL 语句时,直接将用户输入的数据拼接到 SQL 语句中。这使得攻击者可以通过构造特殊的输入来 Inject...
Mybatis防止sql注入的实例
08-30
防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种方式可能不太适合平时开发中。Mybatis框架提供了一种预编译功能,在sql执行前,会先将sql语句发送给数据库进行编译,执行时,直接使用编译...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2564
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
preparedstatement防止sql注入的本质原理(找了很多文章,发现这种说法好像才是正确的)
Miao_Yue_LIN的博客
05-22 436
转发自该链接https://blog.csdn.net/silencediors/article/details/104085380 SQL注入的预编译疑惑 前几天拜读绿盟大佬写的web应用安全编码时,看到有一页PPT上加了一句话备注,preparedstatement预编译本质也是过滤。就这一点问题我请教了一个老司机和阅读了相关资料后,觉得有必要写出来一下。 preparedstatementstatement 这两个对象字如其意,可以参考相关文档对他们的详细分析。preparedstatement就是
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 3907
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
为什么preparestatement能够防止sql注入
weixin_33701564的博客
04-10 647
2019独角兽企业重金招聘Python工程师标准>>> ...
为什么说 PreparedStatement 可以防止 sql 注入
艾斯比
03-18 636
先介绍下概念 sql 注入 sql 注入: 本来是作为 sql 的某个字段值, 却变成了单独的 sql 语句被执行. 有极大的安全风险. -- # 本来是传入 name 字符串 select * from t_person where name = ? # 结果我们传入 ''; truncate table t_person2; 就会变成如下, 导致 t_person2 表被清空 # 这就是 sql 注入, 有极大安全风险 select * from t_person where name =
java持久层框架mybatis防止sql注入的方法
09-01
MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`语法来引用参数,例如在以下的映射语句中: ```xml select id, title,...
java防止SQL注入
11-19
有两种简单的方法可以防止 SQL 注入攻击: 1. 采用预编译语句集 预编译语句集内置了处理 SQL 注入的能力,只要使用它的 setString 方法传值即可: String sql= "select * from users where username=? and ...
如何防止SQL注入.pdf
最新发布
04-02
防止SQL注入主要依赖于以下几种方法: 1. 使用参数化查询(预编译语句) 参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理...
java:PreparedStatement可以防止sql注入的原因
xlantian的博客
08-18 1万+
  java中对数据库访问的方法有多种。以操作MySql数据库为例。     方法一:创建Statement对象,调用对象的execute(String)、executeQuery(String)等函数执行String字符串的sql语句。           Class.forName(com.mysql.jdbc.Driver); //加载驱动 Connection con...
PreparedStatement防止SQL注入小记
lw18751836671的专栏
04-09 1404
突发奇想想知道为什么preparedstatement.setString()这种设置参数为什么能防止SQL注入,它这么设置后打印出来的SQL语句是什么格式的, select count(*) as total from test0 t  where t.name = '"+username+"'"  这种如果输入  ' or 1=1 -- (PS: --空格, 这里必须要有空格才算注释) 这
PreparedStatement可以有效地防止sql被注入
weixin_30305735的博客
09-13 126
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import org.junit.Test; import util.JdbcUtil; /** * 模拟用户登录效果 * ...
java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!!
iteye_6274的博客
03-02 515
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try {...
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1207
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5868
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 String
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 283
PreparedStatement PreparedStatement防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 Class.fo
preparedstatement防止sql
03-16
注入攻击的原理是什么? SQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而实现对数据库进行非法操作的一种攻击方式。攻击者通过在输入框中输入特定的字符,使得应用程序将这些字符作为SQL语句的一部分执行,从而达到控制数据库的目的。 PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免了SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,然后通过setXXX()方法来设置占位符的值,最后执行SQL语句。由于参数和SQL语句是分离的,攻击者无法通过输入特定的字符来改变SQL语句的结构,从而避免了SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值