JDBC_演示如何防止SQL注入

最新推荐文章于 2024-08-12 21:26:50 发布
最新推荐文章于 2024-08-12 21:26:50 发布
阅读量247 收藏
点赞数
分类专栏: JDBC技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39567031/article/details/79414555
版权

该案例需要在数据库中插入一张表格。

create table robin_user_zqk(
id NUMBER(6),
name VARCHAR2(100),
pwd VARCHAR2(100)
);
insert into robin_user_zqk(id,name,pwd)
VALUES (1,'jerry','123')
insert into robin_user_zqk(id,name,pwd)

VALUES (2,'tom','123')


————————————————————————————————————————————————————

package cn.tedu.jdbc.day02;


import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;


/*
 * SQL注入演示
 * 
 */
public class Demo07 {
public static void main(String[] args) {
//获取用户输入
Scanner in = new Scanner(System.in);
System.out.print("用户名:");
String name = in.nextLine();
System.out.print("密码:");
String pwd = in.nextLine();
//检查登录情况
boolean pass = login(name,pwd);
if(pass) {
System.out.println("欢迎您! "+name);
}else {
System.out.println("用户名或者密码错误!");
}
}
/*
* 使用PreparedStatement防止SQL注入
*/
public static boolean login1(String name,String pwd) {
String sql = "select count(*) as c "
+ "from robin_user_zqk "
+ "where name=? and pwd=?";
Connection conn = null;
try {
conn = DBUtils.getConnection();//连接池的getConnection方法,是一个线程阻塞方法
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, name);
ps.setString(2, pwd);
ResultSet rs = ps.executeQuery();
while(rs.next()) {
int n = rs.getInt("c");
return n>=1;
}
} catch (Exception e) {
e.printStackTrace();
}finally {
DBUtils.close(conn);
}
return false;
}
/*
* 检查用户是否能够登录
*/
public static boolean login(String name,String pwd) {
String sql = "select count(*) as c "
+ "from robin_user_zqk "
+ "where name = \'"+name+"\' "
+ "and pwd = \'"+pwd+"\' ";
//不能理解上面的sql语句的话,可以输出看看SQL长什么样子
System.out.println(sql);
Connection conn = null;
try {
conn = DBUtils.getConnection();
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql);
while(rs.next()) {
int n = rs.getInt("c");
return n >= 1;
}
} catch (Exception e) {
e.printStackTrace();
}finally {
DBUtils.close(conn);
}
return false;
}
}

小小程序员-007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,   那么,什么是SQL注入,以及如何防止SQL注入的问题。   一什么是SQL注入   所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多是通过WEB表单递交查询字
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1198
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
在使用jdbc的时候,如何防止出现sql注入的问题
qq_65951398的博客
05-30 1530
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句中,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库中。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库中存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5021
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
如何保护 JDBC 应用程序免受 SQL 注入
allway2的博客
07-22 397
用SQL编写的查询语句用于操作数据库的内容和结构。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。例如,攻击者可以使用看似无害的查询执行带有恶意负载的SQL语句,以控制Web应用程序的数据库服务器。这可以防止SQL注入攻击的根本原因,因为在SQL注入中,其想法是混合代码和数据,其中数据实际上是伪装成数据的代码的一部分。...
jdbc_data.rar
05-27
`PreparedStatement`用于防止SQL注入并提高性能。 4. **结果集处理**:如何遍历和处理`ResultSet`,提取查询结果。 5. **事务管理**:了解JDBC中的事务控制,如`Connection.setAutoCommit()`关闭自动提交,`...
(java)JDBC_example.rar_JDBC例子_jdbc_jdbc Java
09-19
- 使用PreparedStatement代替Statement,可以防止SQL注入,提高性能。 - 使用连接池管理数据库连接,如C3P0、HikariCP等,以提高系统效率。 - 使用批处理操作批量执行SQL,减少网络交互次数。 5. **JDBC的挑战与...
JDBC.rar_java jdbc_jdbc
09-19
如果需要预编译的SQL(含有占位符),可以创建`PreparedStatement`,这能提高性能并防止SQL注入。 5. **执行SQL语句**: 使用`Statement`或`PreparedStatement`的`executeQuery()`或`executeUpdate()`方法执行SQL。...
jdbc_demo.zip_DEMO_jdbc java demo
09-21
5. **预编译PreparedStatement**:对于需要多次执行的SQL语句,使用`Connection.prepareStatement()`创建`PreparedStatement`对象,可以提高性能并防止SQL注入。比如,`PreparedStatement pstmt = conn.prepare...
Jdbc.zip_JDBC程序_oracle_oracle jdbc
09-20
PreparedStatement适用于含有参数的SQL语句,可以防止SQL注入。 5. **处理结果集**:查询结果会被返回为ResultSet对象,可以遍历该结果集获取每一行数据。 6. **关闭资源**:执行完查询后,记得关闭ResultSet、...
JDBC如何防止SQL注入
CMMI
04-18 701
package com.jtxx.finddata;    import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement;
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 516
SQL注入(SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
jdbc防止sql注入学习记录
xiaolintan的专栏
02-09 3649
package cn.itcast.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class SQLInject { p
JDBC防止SQL注入,工具类,CRUD
Syntacticsugar's blog
09-12 883
  CRUD代码;   package jdbcCRUD; import java.sql.Connection; import java.sql.PreparedStatement; /** * @auther SyntacticSugar * @data 2018/9/12 0012下午 9:15 */ public class Increase { private ...
BUG 登入功能 用户名为中文登入不成功
qq_45858803的博客
01-26 673
文章目录class UserLogin异常体提示显示结果错误原因纠正方法class UserLogin实现结果 class UserLogin import java.sql.*; import java.util.HashMap; import java.util.Map; import java.util.Scanner; public class UserLogin { public static void main(String[] args) { //初始化一个界面
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 530
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
SQL基本注入演示
xiaoi123的博客
12-14 461
作者:ZERO 所属团队:Arctic Shell 参考文献:《sql注入攻击与防御》 使用平台:pikachu漏洞练习平台 导语:  在owasp发布的top10排行榜中注入漏洞一直是危害排名极高的漏洞,数据库注入一直是web中一个令人头疼的问题。   一个严重的SQL注入漏洞,可能会直接导致一家公司破产!这并不是戏言,其实SQL注入漏洞最主要的形成原因是在进行数据交互中,当前端的数据传...
mysql的jdbc防止注入占位符_jdbc怎么防止sql注入
weixin_30453651的博客
01-28 346
JDBC-防止sql注入漏洞使用预编译可有效防止sql的注入漏洞。原因:在statement中不能够有效的防止sql的注入漏洞,在于用户传入参数的时候可能会传入一些特殊字符,比如单引号' ' ,或者是-- 这种会影响到我们的sql语句.所以使用预编译中的占位符,也就是?,可以有效的处理这一问题.public class Prepared {@Testpublic void papa(){Conne...
JDBC如何防SQL注入--PrepareStatement
23号员工的博客
12-06 361
主要是为了方式SQL注入 因为Statement的执行时 会先 拼接SQL语句,然后在执行,它会识别你输入的关键字例如OR..... 当使用PrepareStatement 的时候,它并不会识别关键字,而只会把输入当成字符串,因此可以有效预防SQL注入攻击 如图: 这是一条标准的Statement执行语句 在此处我们输入正确的用户名和密码没错,现在我们的用户名和密码分别为admin和...
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,sql中的标名是动态的
08-30
### 回答1: 好的,下面是一段使用Java的jdbc查询SQL语句的代码,同时也规避了SQL注入漏洞的风险: ``` import java.sql.*; import java.util.Scanner; public class SQLInjectionExample { public static void main(String[] args) { Connection connection = null; PreparedStatement preparedStatement = null; ResultSet resultSet = null; try { // 加载驱动 Class.forName("com.mysql.jdbc.Driver"); // 创建连接 connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/database", "username", "password"); Scanner scanner = new Scanner(System.in); System.out.print("请输入表名:"); String tableName = scanner.nextLine(); // 使用PreparedStatement预处理语句,防止SQL注入 String sql = "SELECT * FROM " + tableName; preparedStatement = connection.prepareStatement(sql); resultSet = preparedStatement.executeQuery(); while (resultSet.next()) { // 处理查询结果 ... } } catch (ClassNotFoundException e) { e.printStackTrace(); } catch (SQLException e) { e.printStackTrace(); } finally { try { if (resultSet != null) { resultSet.close(); } if (preparedStatement != null) { preparedStatement.close(); } if (connection != null) { connection.close(); } } catch (SQLException e) { e.printStackTrace(); } } } } ``` 通过使用`PreparedStatement`预处理语句,我们可以有效的防止SQL注入漏洞的发生。 ### 回答2: 对于使用JDBC查询SQL语句,规避SQL注入漏洞且其中的表名是动态的,可以采用参数化查询的方式来实现。 代码示例: ```java import java.sql.*; public class JdbcDemo { public static void main(String[] args) { // 假设动态表名为tableName,替换为实际的表名 String tableName = "your_dynamic_table_name"; try { // 连接数据库 Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/database", "username", "password"); // 构造SQL语句 String sql = "SELECT * FROM " + tableName + " WHERE id = ?"; // 创建预编译的Statement对象 PreparedStatement statement = connection.prepareStatement(sql); // 设置参数值 statement.setInt(1, 1); // 假设需要查询id为1的记录,替换为实际需求 // 执行查询 ResultSet resultSet = statement.executeQuery(); // 处理查询结果 while(resultSet.next()) { // 获取数据,并进行相应处理 int id = resultSet.getInt("id"); String name = resultSet.getString("name"); // 其他字段类似 System.out.println("id: " + id + ", name: " + name); } // 关闭资源 resultSet.close(); statement.close(); connection.close(); } catch (SQLException e) { e.printStackTrace(); } } } ``` 上述代码中,使用PreparedStatement对象来进行参数化查询,即将动态的表名通过占位符的方式进行替换,从而避免了SQL注入漏洞的风险。 在SQL语句中使用`?`作为占位符,然后使用`setXxx()`方法来设置参数值,其中`Xxx`表示具体的数据类型,比如`setInt()`用于整型,`setString()`用于字符串等。这种方式可以确保SQL语句的安全性,同时提高了代码的可读性和可维护性。 需要注意的是,上述代码中的数据库连接信息以及动态的表名、参数值等都需要根据实际情况进行替换。 ### 回答3: 当我们使用JDBC查询SQL语句时,为了避免SQL注入漏洞,我们可以通过使用参数化查询来保护我们的代码。参数化查询是指将SQL语句中的参数用占位符替代,然后在执行查询时,将真正的参数值传递给占位符。 以下是一个示例代码,演示如何在JDBC中使用参数化查询,并规避SQL注入漏洞: ``` import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class JdbcExample { public static void main(String[] args) { Connection connection = null; PreparedStatement statement = null; ResultSet resultSet = null; try { // 连接数据库 connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password"); // 编写SQL语句,并将参数用问号代替 String sql = "SELECT * FROM mytable WHERE column_name = ?"; // 使用PreparedStatement对象来预编译SQL语句 statement = connection.prepareStatement(sql); // 设置查询参数的值,这里使用了动态的标名 statement.setString(1, "动态的标名"); // 执行查询 resultSet = statement.executeQuery(); // 处理查询结果 while (resultSet.next()) { // 操作结果集的字段数据 String columnValue = resultSet.getString("column_name"); System.out.println(columnValue); } } catch (SQLException e) { e.printStackTrace(); } finally { // 释放资源 try { if (resultSet != null) { resultSet.close(); } if (statement != null) { statement.close(); } if (connection != null) { connection.close(); } } catch (SQLException e) { e.printStackTrace(); } } } } ``` 在上述代码中,通过使用PreparedStatement对象来预编译SQL语句,并使用`setString()`方法来设置查询参数的值。这样可以确保参数值不会直接被拼接到SQL语句中,从而有效地规避了SQL注入漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值