JDBC-注入攻击和事务管理(二)

最新推荐文章于 2024-07-24 16:18:52 发布
最新推荐文章于 2024-07-24 16:18:52 发布
阅读量58 收藏
点赞数
分类专栏: JDBC 事务管理 文章标签: mysql sql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39188134/article/details/115441267
版权

SQL注入攻击

巧妙通过输入数据,拼写出一个具备新条件的恒等的sql语句,导致不该查询出来的数据被查询出来了.

注入场景,如:

登陆的sql语句:SELECT * FROM `user` WHERE loginname='XXXXX' AND PASSWORD = 'XXXX';  
用户有:zhangsan,1234/lisi,123

正常登录成功:
用户名:zhangsan   密码:1234
SELECT * FROM `user` WHERE loginname='zhangsan' AND PASSWORD = '1234';  
查询出zhangsan的用户记录

正常登录失败:
用户名:rose   密码:jack
SELECT * FROM `user` WHERE loginname='rose' AND PASSWORD = 'jack';
没有符合条件的用户记录

SQL注入:得到了不该得到的所有记录

用户名:rose   密码:jack' OR '1' = '1
SELECT * FROM `user` WHERE loginname='rose' AND PASSWORD = 'jack' OR '1' = '1';

SQL注入的解决

解决方法:使用PreparedStatement登陆方法,解决注入攻击

  • preparedStatement 预编译执行者对象
  • 该执行者特点:SQL语句中的参数使用 ? 作为占位符
  • 调用方法为 ? 赋值
  • setXxx(参数1,参数2); Xxx:问号的数据类型,参数1:SQL中第几个问好,参数2:真正的数据。参数1计数从1开始

案例:

//1.获取连接
conn = JDBCUtils.getConnection();
//2.定义SQL语句
String sql = "SELECT * FROM user WHERE loginname=? AND password=?";
//3.获取操作对象,执行sql语句,获取结果集
st = conn.prepareStatement(sql);
st.setString(1,"zhangsan");   //为第一个问号,loginname字段赋值
st.setString(2,"1234");     //为第二个问号,password字段赋值
//则确定了要执行的sql语句				
//"SELECT * FROM user WHERE loginname='zhangsa'n AND password='1234'";		
rs = st.executeQuery();     //执行sql语句,并获取结果集

JDBC事务

JDBC提供了3个方法来进行事务管理

JDBC默认的事务处理行为是自动提交。

  • setAutoCommit() 设置自动提交,方法中需要传入一个boolean类型的参数,true为自动提交,false为手动提交

  • commit() 提交事务

  • rollback() 回滚事

在这里插入图片描述

事务控制:

@Override
    public void batchAdd(List<User> users) {
        //获取数据库连接对象
        Connection con = JDBCUtils.getConnection();
        try {
            //开启事务
            con.setAutoCommit(false);

            for (User user : users) {
                //1.创建ID,并把UUID中的-替换
                String uid = UUID.randomUUID().toString().replace("-", "").toUpperCase();
                //2.给user的uid赋值
                user.setUid(uid);
                //3.生成员工编号
                user.setUcode(uid);

                //出现异常
                //int n = 1 / 0;

                //4.保存
                userDao.save(con,user);
            }

            //提交事务
            con.commit();

        }catch (Exception e){
            //回滚事务
            try {
                con.rollback();
            } catch (SQLException e1) {
                e1.printStackTrace();
            }
            e.printStackTrace();
        } finally {
            //释放资源
            JDBCUtils.close(con,null);
        }
    }
平平无奇平平
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入及解决方案
m0_54356563的博客
10-14 3289
目录 SQL注入问题及解决方案 SQL注入问题解决方案: JDBC处理事务 1、SQL注入问题及解决方案 SQL注入:利用非法的SQL拼接来达到入侵数据库的目的 以登录为例: /** * 登录方法 */ boolean doLogin(String name, String passwd) { boolean result = false; try { //1、加载数据库驱动 MySQL-》com.my
JDBC--数据库管理系统
OnlyLove_longshao的博客
10-03 4954
1-JDBC概述 序言:数据持久化 持久化(persistence):把数据保存到可掉电式存储设备中以供之后使用。大多数情况下,特别是企业级应用,数据持久化意味着将内存中的数据保存到硬盘上加以”固化”, 而持久化的实现过程大多通过各种关系数据库来完成。 持久化的主要应用是将内存中的数据存储在关系型数据库中,当然也可以存储在磁盘文件、XML数据文件中。  Java 中的数据存储技术 在J
Java Web学习day15------jdbcsql注入事务管理
dsh789的博客
12-06 139
jdbc一. 相关概念1. 接口2. jdbc3. 数据库驱动4. 面向接口编程. 入门案例1. 书写步骤2. 功能详解三. 学生案例1. 增2. 删3. 改4. 查四. 工具类抽取1. 核心2. 步骤五. sql注入漏洞1. 概念2. 原因3. 解决六. 事务管理1. 概念2. 步骤3. 注意 一. 相关概念 1. 接口   就是一个规范,定义好了这个规范之后,开发电脑的人和开发外设的人可以分别独立开发,开发好之后,直接插上就可以使用。 2. jdbc   sun公司提供的一种操作所有关系型数据库的规范
JDBC复习:Statement-PrepareStatement-事务
i_see_the_world的博客
10-10 670
JDBC(重点) 用Java操作数据库 JDBC——Java DateBase Connection SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库的)规范,俗称JDBC 对于开发者来说,只需要掌握JDBC接口的操作即可! package JDBCtext; import java.sql.*; //第一个JDBC程序 public class JdbcFirstDemo { public static void main(String[] args) thro
2.jdbc之工具类,SQL注入攻击JDBC事务
hutc_Alan的博客
05-13 306
4.JDBC工具类 抽取工具类 1)编写配置文件 在src目录下创建config.properties配置文件 driverClass=com.mysql.cj.jdbc.Driver url=jdbc:mysql://192.168.1.224:3306/db14 username=root password=123456 2)编写jdbc工具类 utils文件下(JDBCUtils.java) package jdbc01.utils; import com.mysql.cj.protocol.Re
一.JDBC----(基础篇)
mmmmazhiyuan的博客
07-14 1016
注册驱动【依赖的驱动类,进行安装】获取连接【Connection建立连接】创建发送SQL语句对象【Connection创建发送SQL语句的Statement】发送SQL语句,并获取返回结果【Statement 发送sql语句到数据库并且取得返回结果】结果集解析【结果集解析,将查询结果解析出来】资源关闭【释放ResultSet、Statement 、Connection】
【Java】JDBC-基础篇
yimeng_Sama的博客
07-12 1950
3.创建Java项目,在项目下创建Iib文件夹,将下载的驱动jar包复制到文件夹里。mysql版本要和jar包匹配,比如5.0的数据库要用5.0的驱动版本;推荐使用8.0.26之后的版本,因为8.0.25之前是要下载时区的。对象,可以向数据库发送SQL语句并获取执行结果。java中使用第三方jar或拓展都放在。进行实现,更安全、效率更高!5.JDBC核心6步;一般实际开发不使用。
JDBC-00-笔记
qq_24410589的博客
05-31 101
JDBC-系列-笔记 一、JDBC快速入门 1.jdbc的概念 2.jdbc的本质 3.jdbc的快速入门程序 JDBC各个功能类详解 1.DriverManager 2.Connection 3.Statement 4.ResultSet 三、数据库的学习内容 1,JDBC增删改查案例演示 2,JDBC工具类抽取 3,SQL注入攻击(PreparedStatement) 4,事务管理 5,数据库连接池 6,JDBC框架(JDBCTemplate)
MySQL-数据库驱动和JDBC
AyinMars的博客
08-31 5102
JDBC 在学习JDBC之前,我们需要了解一个概念——驱动。 什么是驱动呢? 驱动是驱动程序的缩写,是指直接工作在各种硬件设备上的软件,其“驱动”这个名称也十分形象的指明了它的功能。正是通过驱动程序,各种硬件设备才能正常运行,达到既定的工作效果。例如声卡驱动、显卡驱动等等,所以数据库,也当然会有驱动。 我们的程序也会通过数据库驱动,和数据库“打交道”。 而SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库)规范,俗称JDBC,这些规范的实现由具体的厂商去做,对于开发人员来说,
spring-jdbc-tips:Spring JDBCSQL和Java
01-28
总的来说,Spring JDBC是Spring框架中处理数据库操作的强大工具,它简化了SQL的执行、数据的映射、事务的管理,同时也提供了安全性和灵活性。掌握Spring JDBC的使用,能够使我们在开发过程中更高效地进行数据库操作...
Sqlite-jdbc-3.7.2.jar和sqlite-jdbc-3.20.1.jar上传,亲测可用
07-13
同时,注意避免SQL注入攻击,确保输入数据的安全性。 总的来说,`sqlite-jdbc-3.7.2.jar`和`sqlite-jdbc-3.20.1.jar`是Java开发者连接SQLite数据库的重要工具,它们提供了方便的接口和高效的数据操作能力,适用于...
Oracle-jdbc-12.2.0.1.zip
11-20
5. **安全**:考虑使用加密连接,避免SQL注入攻击,确保数据传输的安全性。 了解和掌握Oracle JDBC驱动,能够帮助开发者高效地构建与Oracle数据库交互的Java应用,同时确保应用的稳定性和安全性。在实际开发中,...
MySql-Connector-jdbc-jar包
10-17
- **事务管理**:对于需要原子性和一致性的操作,可以使用JDBC提供的事务控制功能,确保数据的一致性。 - **安全性**:使用预编译的`PreparedStatement`防止SQL注入攻击,并定期更新驱动程序以修复可能的安全漏洞。...
Lab3-JDBC-code_jdbc_
10-01
它可以防止SQL注入攻击,并允许我们在SQL语句中使用参数。 5. **CallableStatement**: 用于调用数据库存储过程。它扩展了PreparedStatement,可以处理OUT参数。 6. **ResultSet**: 执行查询后返回的结果集,我们...
web小项目-曼波生日录(Servlet+JSP+MySQL)
m0_75138009的博客
07-24 928
当记录条数过多时会自动出现滚轮,数据不会超出紫框。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 2311
MySQL基线检查,基线配置,安全加固
测试环境搭建整套大数据系统(十七:mysql同步,字段类型映射错误问题)
weixin_43446246的博客
07-24 497
mysql表hive表其中 type是字符串类型,但是yarn上一直报错number这个类是往int类型转才会使用到的。
MySQL中的CREATE EVENT 语句详解
最新发布
u011565038的博客
07-24 649
CREATE EVENT语句在 MySQL 中用于创建一个事件调度器(Event Scheduler)的事件。事件调度器允许你安排数据库任务(如查询、数据更新等)在将来的某个时间点自动执行,或者根据特定的时间间隔重复执行。这对于需要定期执行的任务特别有用,比如数据清理、报表生成等。
JDBC深度解析:事务与并发控制
2. 安全性:PreparedStatement可以防止SQL注入攻击,因为它允许以参数化的方式插入数据,而不是直接拼接字符串。 3. 代码可读性和维护性:使用占位符(?)代替具体的值,使得代码更清晰,更容易理解和维护。 在使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值