SQL注入问题&&PreparedStatement

最新推荐文章于 2023-07-12 18:24:38 发布
最新推荐文章于 2023-07-12 18:24:38 发布
阅读量826 收藏 1
点赞数 1
分类专栏: #数据库思维框架 文章标签: 注入问题 PreparedStatement
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/qq_39565202/article/details/103283732
版权

SQL注入问题

 我们来看账号登录程序(点击)的代码,我们表中的数据为:

                       

我们运行输入如下数据:

                                     

竟然运行成功了。

我们思考,上面输入的数据用户名一看就是瞎写的,但是密码看起来貌似和很有章法,or 和单引号都容易让我们想到sql语句中的判断语句
所以我们观察代码,为什么会出现随便输入都能成功的现象呢。

这是因为我们在之前的代码中进行有这样的代码:

我们打开注释,按上面的输出输出这句话:

我们观察最后传入数据库的语句,字符串在之前会进行拼接,然后就会返回一个一定对的答案。然后数据再进行判断,就会返回一条信息,我们之前的思路是如果查找成功那么就会返回一条数据,只要判断next()方法的返回值是否为false就行了。但是现在,我们发现,这样做是有很大漏洞的。

而这个漏洞,就叫做SQL注入问题。 据说,在十几年前,所有的需要账号密码的网站都可以这样破译。

我们需要传入SQL语句,最好的方法就是String语句,而且必须和外来的输入无法拼接一起传入数据库,貌似无懈可击,那么这个漏洞怎么破呢。

JAVA研发人员退出了PreparedStatement类:预编译类

PreparedStatement

 PreparedSatement的执行原理

我们写的SQL语句让数据库执行,数据库不是直接执行SQL语句字符串。和Java一样,数据库需要执行编译后的SQL语句(类似Java编译后的字节码文件)

Satement对象每执行一条SQL语句都会先将这条SQL语句发送给数据库编译,数据库再执行。 

Statement stmt = conn.createStatement();
stmt.executeUpdate("INSERT INTO users VALUES (1, '张三', '123456');");
stmt.executeUpdate("INSERT INTO users VALUES (2, '李四', '666666');");

上面2条SQL语句我们可以看到大部分内容是相同的,只是数据略有不一样。数据库每次执行都编译一次。如果有1万条类似的SQL语句,数据库需要编译1万次,执行1万次,显然效率就低了。

prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用这预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。相当于调用方法 多次传入不同的参数。

//这里的问号是占位符。表示占住这个位置,等会儿再填数据
String sql = "INSERT INTO users VALUES (?, ?, ?);";
// 会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。
PreparedStatement pstmt = conn.prepareStatement(sql);

 

// 设置参数,这里的1,2,3都是表示上面我们传入的sql语句中问号的顺序,1表示第一个问号,2表示第二个问号
// 默认是从1开始的
pstmt.setInt(1, 1);
pstmt.setString(2, "张三");
pstmt.setString(3, "123456");
pstmt.executeUpdate();

// 再次设置参数
pstmt.setString(1, 2);
pstmt.setInt(2, "李四");
pstmt.setString(3, "66666");
pstmt.executeUpdate();

上面预编译好一条SQL,2次传入了不同的参数并执行。如果有1万条类似的插入数据的语句。数据库只需要预编译一次,传入1万次不同的参数并执行。减少了SQL语句的编译次数,提高了执行效率。

PreparedSatement的好处

  • prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。减少SQL编译次数,提高效率。
  • 安全性更高,没有SQL注入的隐患。
  • 提高了程序的可读性

 PreparedSatement的基本使用

(1)API介绍

1)获取PreparedSatement的API介绍

在java.sql.Connection有获取PreparedSatement对象的方法

PreparedStatement prepareStatement(String sql)
会先将SQL语句发送给数据库预编译。PreparedStatement对象会引用着预编译后的结果。

2)8.2.1.2 PreparedSatement的API介绍

在java.sql.PreparedStatement中有设置SQL语句参数,和执行参数化的SQL语句的方法

void setDouble(int parameterIndex, double x)
将指定参数设置为给定 Java double 值。

void setFloat(int parameterIndex, float x)
将指定参数设置为给定 Java float 值。

void setInt(int parameterIndex, int x)
将指定参数设置为给定 Java int 值。

void setLong(int parameterIndex, long x)
将指定参数设置为给定 Java long 值。

void setObject(int parameterIndex, Object x)
使用给定对象设置指定参数的值。  

void setString(int parameterIndex, String x)
将指定参数设置为给定 Java String 值。

ResultSet executeQuery()
在此 PreparedStatement 对象中执行 SQL 查询,并返回该查询生成的ResultSet对象。

int executeUpdate()
在此 PreparedStatement 对象中执行 SQL 语句,该语句必须是一个 SQL 数据操作语言(Data Manipulation Language,DML)语句,比如 INSERT、UPDATE 或 DELETE 语句;或者是无返回内容的 SQL 语句,比如 DDL 语句。

(2)PreparedSatement使用步骤

编写SQL语句,未知内容使用?占位:"SELECT * FROM user WHERE name=? AND password=?;";

获得PreparedStatement对象

设置实际参数

执行参数化SQL语句

关闭资源

我们再对登录程序进行优化。代码

好吃的都给你呀
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题。 Mybatis中的sql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5920
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
掌握数据库操作的关键技巧:深入解析prepareStatement方法
最新发布
2301_77478553的博客
07-12 4113
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
PreparedStatement语句插入数据
热门推荐
汉南最後の読書人
10-13 2万+
代码:  1.直接调用插入: DButil.java import java.sql.DriverManager; import java.sql.SQLException; import java.util.Properties; import com.mysql.jdbc.Connection; public class DButil { /* * 打开数据库 */
JDBC封装
Saialy的博客
08-01 155
1.预处理对象executeUpdate方法 1. 注册驱动 Class.forName("com.mysql.jdbc.Driver"); 2. 获取连接 Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/db_jdbc","root","123456"); 3. 获取预处理对象 PreparedStatement ps=conn.prepareStatement("insert into dept(d
PreparedStatement
shkstart的博客
09-13 583
一、PreparedStatement概述 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx(...
泛微OA8前台sql注入1
08-08
1. 使用预编译的SQL语句(如Java的PreparedStatement),并绑定参数,避免SQL注入。 2. 对用户输入进行严格验证和过滤,只允许预期的字符和格式。 3. 限制应用程序对数据库的权限,避免使用具有广泛权限的数据库连接...
CodeQL 闭源应用创建数据库 & SQL注入1
08-03
在Mybatis中,可以使用预编译语句(PreparedStatement)来避免SQL注入,确保输入数据不会被解释为SQL命令的一部分。例如,将动态SQL语句与参数分开,如下所示: ```xml SELECT * FROM users WHERE id = #{id} ``...
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此类攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
2021-05-13
qq_44706690的博客
05-13 552
关于使用ps=conn.prepareStatement(sql)出现的空指针异常 今天在创建数据库连接后,在UserDao类中进行进行数据库的查询时出现了空指针异常的错误。 经过检查发现是运行到这条语句出现了异常: String ps = conn.prepareStatement(sql); 为了判断异常的出处我在它之前加了个条件判断; 结果显示conn为空,也就是创建连接传过来的conn为空。 也就是JDBCConnectionUtil的getConnect()方法返回值为空,这说明数据库连接没
实现通用的PreparedStatement插入记录的方法
wj800的专栏
03-14 4454
准确的说是实现通用的PreparedStatement通配符对应的赋值方法。在合成PreparedStatement插入语句、找到SQL字段类型与Java类的对应关系之后,就可以实现通用的PreparedStatement插入数据的方法了。         在实现通用的PreparedStatement插入记录的方法过程中,JadePool已经解决好了以下的现实需求:         1、支持
Java Web 学习之JDBC 基础(篇2)
焱宣的博客
03-07 767
篇1 介绍了使用JDBC 连接数据库及部分API 实现sql 查询,及数据库资源的回收,本篇主要是围绕 PrepaeredStatement对象的使用及Sql注入相关: 1.Sql 注入sql注入是比较常见的网络攻击形式,它利用现有的程序漏洞,将恶意的Sql命令注入后台数据库,最终达到欺骗服务器并实现攻击者的意图,在程序运行过程中,Sql注入会造成数据库信息泄露,网页被篡改,网站被挂木马等问题, 如接下来的两个Sql 语句: Select * from ...
怎么得到PreparedStatement查询条数的结果
qq_32534441的博客
11-01 3972
方法一: PreparedStatement st = conn.prepareStatement("select count(*) from jinchun"); ResultSet rs=st.executeQuery(); while(rs.next()) { //打印的就是总记录数。把检索结果看成只有一跳记录一个字段的表 System.out.println(rs.ge...
JDBC的PreparedStatement接口
cccccccmmm的博客
08-19 1068
继承自 Statement 接口,由 preparedStatement方法创建。PreparedStatement具有预编译SQL语句能力,所以PreparedStatement 对象比 Statement 对象的效率更高,由于实现了动态的参数绑定,所以可以防止 SQL 注入,所以我们一般都使用 PreparedStatement。PreparedStatement执行sql语句的编写顺序:1、获取Connection对象2、编写sql语句。
使用PreparedStatement对数据库的增删改查
qq_56627079的博客
10-10 1118
JDBC的增删改查
JDBC 用PreparedStatement语句动态操作SQL语句
diaoshu2256的博客
06-06 525
https://blog.csdn.net/u014453898/article/details/79038187 1.Statement 和 PreparedStatementStatement接口只能操作静态SQL语句(即SQL语句中操作的数据表,变量等等都是固定的,不能变化的)。而PreparedStatement接口则可以动态操作SQL语句(即SQL语句中的变量的值...
PreparedStatement的使用和批处理
rosetaylor的博客
05-12 1165
package cn.taylor.demo4; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import org.junit.Test; /* * 为了避免sql攻击,学习PreparedSt...
this.conn.prepareStatement(sql)
06-12
这是一个 Java 语言中用于执行 SQL 语句的代码片段。其中的 this.conn 是一个连接对象,用于连接到数据库,prepareStatement(sql) 方法用于创建一个 PreparedStatement 对象,它可以预编译 SQL 语句并设置参数,这样可以防止 SQL 注入攻击,提高 SQL 语句的执行效率。其中的 sql 参数是要执行的 SQL 语句。通过调用 PreparedStatement 对象的方法,可以将参数设置到 SQL 语句中,并执行该 SQL 语句。在执行完毕后,需要关闭 PreparedStatement 对象和连接对象,以释放资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值