13_3_sql注入问题的解决_PreparedStatement

最新推荐文章于 2023-03-22 08:30:06 发布
最新推荐文章于 2023-03-22 08:30:06 发布
阅读量377 收藏 1
点赞数
分类专栏: HeimaJavaWeb 文章标签: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37696899/article/details/103031419
版权

问题详情

PreparedStatement:执行sql的对象
            1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
                   1. 输入用户随便,输入密码:a' or 'a' = 'a
                   2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 

            2. 解决sql注入问题:使用PreparedStatement对象来解决
            3. 预编译的SQL:参数使用?作为占位符
            4. 步骤:
                1. 导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
                2. 注册驱动
                3. 获取数据库连接对象 Connection
                4. 定义sql
                    * 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;
                5. 获取执行sql语句的对象 PreparedStatement  Connection.prepareStatement(String sql) 
                6. 给?赋值:
                    * 方法: setXxx(参数1,参数2)
                        * 参数1:?的位置编号 从1 开始
                        * 参数2:?的值
                7. 执行sql,接受返回结果,不需要传递sql语句
                8. 处理结果
                9. 释放资源

            5. 注意:后期都会使用PreparedStatement来完成增删改查的所有操作
                1. 可以防止SQL注入
                2. 效率更高

PreparedStatement的使用

package cn.itheima.demo04.user;

import cn.itheima.demo03.utils.JDBCUtils;

import java.sql.*;
import java.util.Scanner;

public class PreparedStatementLogin {
    public static void main(String[] args) {
        Scanner sc = new Scanner(System.in);
        String username = sc.next();
        String password = sc.next();

        if (new Login().login(username, password)) {
            System.out.println("true");
        } else {
            System.out.println("false");
        }
    }

    public boolean login(String username, String password) {
        if (username == null && password == null) {
            return false;
        }
        Connection conn = null;
        PreparedStatement pstmt = null;
        ResultSet rs = null;
        //连接数据库判断是否成功
        try {
            //1.获取连接
            conn = JDBCUtils.getConnection();
            //2.定义sql
            String sql = "select * from user where username =? and password = ?";
            //3.获取执行sql的对象
            pstmt = conn.prepareStatement(sql);
            //给问号赋值
            pstmt.setString(1, username);
            pstmt.setString(2, password);
            //4.执行查询
            rs = pstmt.executeQuery();
            return rs.next();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.close(rs, pstmt, conn);
        }
        return false;
    }
}

 

惨猴
关注
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题解决方案
Java的JDBC的PreparedStatement的详细使用
qq_56299755的博客
12-18 713
Java的JDBC的PreparedStatement的详细使用 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; /* 练习: 1.通过键盘录入用户名和密码 2。判断用户是否登陆成功 步骤: 1.创建user库(sql) creat
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
JDBC之PreparedStateMent类、工具类、Dao层、事务
weixin_54194900的博客
09-10 970
PreparedStatemen是预编译声明的意思。预编译功能:客户端发送sql语句给数据库服务器的时候,服务器有三步,编译sql-----语法分析------执行语句。预编译的意思就是当前面执行过相似的sql语句,会把前面两步保存起来,后面执行类似的语句 可以跳过前面两步。该子接口可以让数据库开启预编译功能(前提是数据库有这个功能)。同时,PreparedStatementStatement的子接口,我们在以后的学习中我们可以使用PrearedStatement来代替Statement
Java之JDBC(三)PreparedStatement
m0_57309917的博客
08-13 396
JDBC的PrepareStatement预处理语句的使用
JDBC之PreparedStatement详解
jzj_c_love的博客
04-03 450
statement执行不含参数的静态语句; PreparedStatement创建参数化SQL语句\color{#F00}参数化SQL语句参数化SQL语句,重复执行它们时效率较高; PreparedStatement extends Statement; ?作为占位符; PreparedStatement ps = con.prepareStatement("UPDATE Frie...
ASP_ACCESS_SQL_Injection_Test.rar_asp access注入_linux_sql注入_注入_注入
09-19
SQL注入是一种常见的网络安全问题,攻击者通过在输入字段中插入恶意SQL代码,试图获取未经授权的数据或者控制数据库系统。这个工具可能用于检测和演示这种攻击方式。 在ASP(Active Server Pages)环境中,开发人员...
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
`Statement`适用于静态SQL语句,而`PreparedStatement`则用于预编译的SQL语句,能防止SQL注入攻击。 4. **数据导入**:描述中提到“先要导入其中的两个数据库文件”,这通常是指`.bak`或`.mdf`等数据库备份或数据...
notebook-jsp-sql.rar_jsp_jsp sql_jsp+sql
09-22
同时,为了提高性能和安全性,通常会使用预编译的SQL语句(PreparedStatement)来防止SQL注入攻击。 项目可能还涉及了事务处理、错误处理、用户认证和授权等方面,这些都是在Web应用中处理数据库操作时的关键要素。...
JDBCDriver3.0.rar_jdbc driver 3.0_sql jdbc 3.0_sql server jdbc_s
09-22
2. **预编译语句(PreparedStatement)**:预编译的SQL语句可以显著提升执行速度,同时防止SQL注入攻击。 3. **批处理操作**:允许多个SQL语句一次性提交,减少网络通信次数,提高整体执行效率。 4. **游标支持**:...
JDBC PreparedStatement 详解
Dulm2016的博客
11-11 177
JDBC(五)PreparedStatement 详解
PreparedStatement用途
weixin_34366546的博客
10-11 308
关于PreparedStatement接口,需要重点记住的是:1. PreparedStatement可以写参数化查询,比Statement能获得更好的性能。2. 对于PreparedStatement来说,数据库可以使用已经编译过及定义好的执行计划,这种预处理语句查询比普通的查询运行速度更快。3. PreparedStatement可以阻止常见的SQL注入式攻击。4. PreparedState...
PrepareStatement类(转载)
liangcmwn
06-14 138
import java.sql.*; public class UsePreparedStatement {         public static void main(String[] args) {                 String url = "jdbc:mysql://localhost/sql_test";                 String userName ...
java JDBC PreparedStatement
山不见我,我自见山
08-15 173
String sql = "insert into sort(sid,sname) values(?,?)";; PreparedStatement预处理对象代码: PreparedStatement psmt = conn.prepareStatement(sql) int executeUpdate(); --执行insert、update、delete语句. ResultSet ...
java : jdbc PreparedStatement
belldeep的专栏
10-31 478
java jdbc PreparedStatement 示例 Query1.java
Java中JDBC的PreparedStatement
heiqibaier的博客
07-05 505
 它是Statement接口的子接口;1 强大之处:防SQL攻击; 提高代码的可读性、可维护性; 提高效率!2.PreparedStatement的用法: 如何得到PreparedStatement对象:  给出SQL模板!   调用Connection的PreparedStatement prepareStatement(String sql模板); 调用pstmt的setXxx()系列方法sq...
Java JDBC 之 PreparedStatement
AnyingVirusKing的博客
08-12 640
我来介绍一下 Java JDBC 之 PreparedStatementPreparedStatement 是一种比 Statement 更加安全的数据库操作接口
Java jdbc_PreparedStatement
等,一起的博客
03-22 132
PreparedStatement使用 先写SQL语句,SQL语句中的参数不能直接拼接,而是使用 ? 占位 使用ps预处理SQL语句,处理的?号,ps内部就会知道此SQL语句需要几个参数 再动态给?处填充值
PreparedStatement类详解以及案例
东方
12-04 4747
一:jdbc (1) 注册驱动 (2)获得链接: (3)获得sql 容器: Statement : (4)执行sql 语句: (5)查询操作, 需要遍历结果集: (6)关闭资源: Statement: 存在的弊端, 可以被sql 注入: 所以实际开发是不在地用的 ** PreparedStatement: 类: ** 作用: (1)带有预编译的功能: (2)效率高: (3)防止sql 注入: 传统...
java 过滤sql特殊字符_防止特殊字符SQL注入
最新发布
07-23
3. **正则表达式或替换函数**: 对用户输入进行简单的字符串操作,如去除单引号、双引号和其他可能引起问题的字符。不过这种方法不够安全,因为依赖于特定的规则,可能存在漏洞。 4. **ORM 框架**: 一些 ORM(Object...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值