JDBC防注入攻击

最新推荐文章于 2024-04-17 01:45:39 发布
最新推荐文章于 2024-04-17 01:45:39 发布
阅读量224 收藏
点赞数
分类专栏: JAVA 

  
  
  1. package cn.huhui.jdbc;
  2.  
  3. import java.sql.Connection;
  4. import java.sql.DriverManager;
  5. import java.sql.PreparedStatement;
  6. import java.sql.ResultSet;
  7. import java.sql.SQLException;
  8. import java.sql.Statement;
  9. import java.util.Scanner;
  10. //注入攻击案列
  11. //防止注入攻击
  12. //Statement接口实现类,作用执行sql语句,返回结果集
  13. //有一个子接口PreparedStatement (Sql语句预编译存储,多次高效执行SQL语句)
  14. //PrepareStatement的实现类数据库的驱动中,如何获接口的是实现类
  15. //是Conection数据库链接对象的方法
  16. //PreparedStatement preparedStaement(String SQl)
  17. public class JdbcDemo03 {
  18.  
  19. public static void main(String[] args) throws ClassNotFoundException, SQLException {
  20. // TODO Auto-generated method stub
  21. // TODO Auto-generated method stub
  22. // 1.注册驱动
  23. Class.forName("com.mysql.jdbc.Driver");
  24. // 2.获取连接对象
  25. String url = "jdbc:mysql://localhost:3306/mybase";
  26. String username = "root";
  27. String password = "root";
  28. Connection con = DriverManager.getConnection(url, username, password);
  29. // 3.获取执行则对象
  30. Statement stat = con.createStatement();
  31. // 4.使用执行者对象执行Sql语句
  32. // ResultSet executeQuery(String sql)
  33. // 返回ResultSet实现类对象
  34. Scanner sc = new Scanner(System.in);
  35. String user = sc.nextLine();
  36. String pass = sc.nextLine();
  37. String Sql = "SELECT * FROM users WHERE username=? AND PASSWORD=?";
  38. PreparedStatement pre = con.prepareStatement(Sql);
  39. pre.setObject(1, user);
  40. pre.setObject(2, pass);
  41. ResultSet rs = pre.executeQuery();
  42. while(rs.next()) {
  43. System.out.println(rs.getString("username")+" "+rs.getString("password"));
  44. }
  45. rs.close();
  46. pre.close();
  47. con.close();
  48.  
  49.  
  50. }
  51.  
  52. }
努力写程序
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUG 登入功能 用户名为中文登入不成功
qq_45858803的博客
01-26 663
文章目录class UserLogin异常体提示显示结果错误原因纠正方法class UserLogin实现结果 class UserLogin import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class UserLogin { public static void main(String[] args) { //初始化一个界面
简单了解Mybatis如何实现SQL注入
08-25
使用jdbc来实现SQL注入 其实,Mybatis也是通过jdbc来进行数据库连接的。如果我们看一下jdbc的使用,就可以得到这个原因。使用jdbc,我们可以使用PreparedStatement来进行预处理,然后通过set的方式对占位符进行...
JDBC如何有效止SQL注入
rentian1的博客
09-01 1189
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何止SQL注入的问题。 一什
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
2401_83641250的博客
04-17 291
在面试前我整理归纳了一些面试学习资料,文中结合我的朋友同学面试美团滴滴这类大厂的资料及案例由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!大家看完有什么不懂的可以在下方留言讨论也可以关注。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!大家看完有什么不懂的可以在下方留言讨论也可以关注。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》
jdbc注入
qq_43717658的博客
06-09 128
package Ajdbc1; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Collections; import java.util.Scanner; public class Test3 { public static void main(String[] args) {
JDBC连接如何止SQL注入
lucyLee的博客
10-07 4877
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
在使用jdbc的时候,如何止出现sql注入的问题
qq_65951398的博客
05-30 1460
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句中,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库中。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库中存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(sql注入方式)
10-01
在本示例中,我们将探讨如何使用JDBC(Java Database Connectivity)工具类与MySQL数据库建立连接,并实现登录功能,同时重点介绍如何利用PreparedStatement止SQL注入攻击。 首先,JDBC是Java语言访问数据库的...
jdbc实现与线程池
06-14
jdbc 注入是指止 sql 注入攻击的技术。sql 注入攻击是指攻击者在输入数据中 inject 恶意的 sql 语句,以获取或修改数据库中的敏感信息。 为了止 sql 注入攻击jdbc 提供了 PreparedStatement 对象,用于预...
Spring+JDBC实例
11-27
9. **SQL注入护**:Spring提供了PreparedStatementCreator和SqlProvider接口,可以配合JdbcTemplate使用,止SQL注入攻击。 10. **JDBC模板与ORM框架对比**:虽然JdbcTemplate简化了JDBC操作,但它仍然需要编写...
JDBC (介绍+实例:SQL注入
面向外界的过程
08-27 122
JDBC Java DataBase Connectivity 是一个独立于特定数据库的管理系统,通用的SQL数据库存储和操作的公共接口。 定义了一组标准,为访问不同数据库提供了统一的途径 JDBC体系结构 JDBC接口包含两个层面: 面向应用的API,供程序员调用 面向数据的API,供厂商开发数据库的驱动程序 JDBC API 提供者: JAVA官方 内容:供开发者调用的接口 - java.sql 和 javax.sql - DriverManager 类 - Connection接口
jdbc操作mysql数据库注入攻击版本)
qiangzhuangchao4049的博客
04-10 405
package TestJDBC;import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; public class SQLDemo { public sta
JDBCsql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 762
JDBCsql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC 增、查、删、改 和 止sql注入登录
吉祥龙龙的博客
03-31 372
package cn.mxl.jdbc04; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; /** * * JDBC 增 * * JDBC 增加表中的数据 用SQL语句 * * @...
Java JDBC攻击
mole_exp的博客
04-20 1301
文章目录前言1、H2 database1.1 H2 database console未授权访问->JNDI注入1.2 H2 database任意命令执行1.3 JDBC攻击->RCE1.4 JDBC攻击->无外网利用->RCE1.5 JDBC攻击->无第三方依赖->RCE2、PostgreSQL2.1 PostgreSQL JDBC Driver RCE - CVE-2022-21724参考 前言 JDBC是Java提供的一个接口,通常用于连接数据库,各种数据库引擎会实现
JDBC-sql注入攻击
weixin_30613727的博客
09-18 72
10 SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名: 密码: xxx*/-- 将用户名和密码带入sql语句, 如下: ...
java JDBC Sql注入攻击
feixde的博客
06-03 282
查询: sql注入攻击和PreparedStatement: 其实本质就是PreparedStatement会对参数中的特殊字符进行转义处理,而不是直接拼接。它使用一个?占位,代表一个参数。在设置参数时,如果参数是字符串,拼接sql语句时会自动为字符串加上引号以此表明这是一个字符串,同时对参数内自带的特殊符号会进行转义处理。...
JDBC的SQL注入攻击
qq_45061361的博客
06-05 501
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
BooleanExpression expression 模糊查询注入
06-09
对于模糊查询和注入这两个需求,可以采用以下几种方式来实现: 1. 使用参数化查询:将用户输入的值作为查询参数传递,而不是将其直接拼接到 SQL 语句中。这样可以有效止 SQL 注入攻击,并且支持模糊查询。例如,使用 JDBC API 进行查询时,可以使用 PreparedStatement 对象来执行参数化查询。 2. 对用户输入进行过滤和验证:在用户输入数据之前,对其进行过滤和验证,只允许合法的字符和格式。例如,对于模糊查询,只允许使用通配符(如 % 和 _),不允许使用其他特殊字符。对于注入,可以使用正则表达式或字符串替换等方式过滤掉危险字符。 3. 使用框架或库:现在有许多流行的 ORM 框架和数据库访问库,它们通常提供了安全的查询方式和注入功能。例如,Hibernate 和 MyBatis 都支持参数化查询和注入功能。 4. 限制查询结果集大小:如果用户输入的模糊查询条件过于模糊,可能会导致查询结果集过大,甚至卡死数据库。因此,可以限制查询结果集的大小,例如只返回前 N 条结果。 需要注意的是,以上方式并不是完全可靠的,仍然可能存在一些漏洞和风险。因此,在实际开发中,应该根据具体情况选择合适的方式,并加强代码审查和测试等工作,确保系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值