JDBC_演示如何防止SQL注入

最新推荐文章于 2023-08-14 11:33:02 发布
最新推荐文章于 2023-08-14 11:33:02 发布
阅读量235 收藏
点赞数
分类专栏: JDBC技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39567031/article/details/79414555
版权

该案例需要在数据库中插入一张表格。

create table robin_user_zqk(
id NUMBER(6),
name VARCHAR2(100),
pwd VARCHAR2(100)
);
insert into robin_user_zqk(id,name,pwd)
VALUES (1,'jerry','123')
insert into robin_user_zqk(id,name,pwd)

VALUES (2,'tom','123')


————————————————————————————————————————————————————

package cn.tedu.jdbc.day02;


import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;


/*
 * SQL注入演示
 * 
 */
public class Demo07 {
public static void main(String[] args) {
//获取用户输入
Scanner in = new Scanner(System.in);
System.out.print("用户名:");
String name = in.nextLine();
System.out.print("密码:");
String pwd = in.nextLine();
//检查登录情况
boolean pass = login(name,pwd);
if(pass) {
System.out.println("欢迎您! "+name);
}else {
System.out.println("用户名或者密码错误!");
}
}
/*
* 使用PreparedStatement防止SQL注入
*/
public static boolean login1(String name,String pwd) {
String sql = "select count(*) as c "
+ "from robin_user_zqk "
+ "where name=? and pwd=?";
Connection conn = null;
try {
conn = DBUtils.getConnection();//连接池的getConnection方法,是一个线程阻塞方法
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, name);
ps.setString(2, pwd);
ResultSet rs = ps.executeQuery();
while(rs.next()) {
int n = rs.getInt("c");
return n>=1;
}
} catch (Exception e) {
e.printStackTrace();
}finally {
DBUtils.close(conn);
}
return false;
}
/*
* 检查用户是否能够登录
*/
public static boolean login(String name,String pwd) {
String sql = "select count(*) as c "
+ "from robin_user_zqk "
+ "where name = \'"+name+"\' "
+ "and pwd = \'"+pwd+"\' ";
//不能理解上面的sql语句的话,可以输出看看SQL长什么样子
System.out.println(sql);
Connection conn = null;
try {
conn = DBUtils.getConnection();
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
while(rs.next()) {
int n = rs.getInt("c");
return n >= 1;
}
} catch (Exception e) {
e.printStackTrace();
}finally {
DBUtils.close(conn);
}
return false;
}
}

小小程序员-007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于sql注入的简要演示(入坑抛砖)
09-09
主要介绍了关于sql注入的简要演示(入坑抛砖),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4628
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
在使用jdbc的时候,如何防止出现sql注入的问题
qq_65951398的博客
05-30 1316
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句中,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库中。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库中存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
SQL注入演示
zhansan的博客
03-19 1374
2种SQL注入演示,不知道密码也可以登录 -- 正常登录 select * from login1 where username ='zhangsan'and password = '123' -- 用户名任意,密码输入: ' or '1'='1 select * FROM login1 where username = 'xyz' and password = '' or '1'='1' -- 用户名zhangsan已知的情况下,用户名输入: zhangsan' -- (zhangsan' 空格--空格)
SQL注入案例演示与防范措施大全
乱世刀疤
02-26 1万+
SQL注入攻击案例与应对措施。
TestJDBC.7z
04-30
所有代码相关部分均是本人手敲,因工具版本或人为原因难免有所... 在IDEA上编写TestJDBC06时,发现SQL注入问题,往后编写TestJDBC07-Test JDBC12均解决了SQL注入问题,TestJDBC13-Test JDBC14一起演示行级锁/悲观锁。
一篇搞定JDBC【Mysql基础】
12-14
解决SQL注入的问题用户登录改进后6.对比Statement和PreparedStatement7.演示只能使用Statement对象不能使用PreparedStatement的业务需求用户输入sql语句8.JDBC事务控制三段重要代码应用于数据库用户之间的转账9.悲观...
2019年毕业设计-一款情侣APP 附论文、作品视频演示、代码
10-13
2、为解决直接使用jdbc实现数据增删改查所带来的,编码复杂且重复率大、sql注入问题。选择Mybatis框架作为数据持久化层框架,不仅易于上手,更有着由于其它持久层框架的易于扩展性,同时提供插件支持,可以实现sql...
基于SSM的图书销售管理信息系统(源码+部署说明+演示视频+源码介绍).zip
06-14
包括前端框架(如Bootstrap、jQuery等)、后端技术栈(如Spring、Spring MVC、MyBatis等)、数据库操作(如JDBC、MyBatis映射文件等)以及安全措施(如权限控制、防止SQL注入等)。通过阅读源码介绍,开发者可以更好地理解...
weixin133学生活动管理系统+ssm(源码+部署说明+演示视频+源码介绍+lw).rar
最新发布
04-05
MyBatis:一个持久层框架,它简化了数据库操作,允许开发者通过XML或注解将SQL语句与Java对象映射起来,减少了JDBC的冗余代码。 功能: 用户管理:系统可能包括对学生、教师和管理员等不同用户角色的管理,包括...
SQL注入原理及其简单演示
weixin_64066158的博客
04-24 6542
一 . SQL注入: SQL injection:通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器恶意执行的SQL命令。具体来说就是利用现有的程序将Sql命令注入到后台数据库引擎并且执行,它可以通过web表单中输入(恶意)的SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照 设计者意图去执行SQL语句。 SQL注入原理: 攻击者通过web 应用程序利用SQL语句或字符串将非法的数据插入到服务端数据库中,获取数据库的用户管理权限,然后将数据库管理用户权限提.
SQL注入(sqli-labs靶场less-1演示
weixin_57448301的博客
04-22 279
SQLI-LABS LESS-1 get显错注入、get盲注、报错注入步骤详解
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 2万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL注入实验详细过程及讲解
2302_78587828的博客
08-14 2079
SQL 注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数中,再在后台SQL服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
SQL注入攻击实战演示(附源码)
hack0919的博客
03-31 4118
SQL注入是一种非常常见的数据库攻击手段,SQL注入漏洞也是网络世界中最普遍的漏洞之一。
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1169
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
如何保护 JDBC 应用程序免受 SQL 注入
allway2的博客
07-22 383
用SQL编写的查询语句用于操作数据库的内容和结构。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。这可以防止SQL注入攻击的根本原因,因为在SQL注入中,其想法是混合代码和数据,其中数据实际上是伪装成数据的代码的一部分。...
DButils-------对jdbc进行封装的工具类和对SQL注入的解决
My_liuying0901
05-06 757
直接将封装的方法抽取到工具类中 为了更加便于使用,将之前封装jdbc增删改(update)查(query)的方法抽取到一个工具类DButil中,如果想要使用增删改查的功能,就可以直接通过DBUtil这个工具类来调用。代码如下 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet...
防止sql注入的工具类
DPCljw的博客
04-07 687
介绍一个防止sql注入的工具类。 /** * xss判断特殊字符 */ public class XssUtil { /** * 判断输入是否包含xss字符 * * @param input * @return */ public static boolean isXss(String input) { if ...
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,sql中的标名是动态的
08-30
以下是一个示例代码,演示如何在JDBC中使用参数化查询,并规避SQL注入漏洞: ``` import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值