JDBC学习日记--关于SQL注入和PreparedStatement的处理

最新推荐文章于 2023-01-31 20:57:38 发布
最新推荐文章于 2023-01-31 20:57:38 发布
阅读量129 收藏
点赞数 1
文章标签: JAVA JDBC PreparedStatement SQL SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39887036/article/details/103135194
版权

什么是SQL注入?

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息

我们来模拟SQL注入:
在这里插入图片描述
数据表STU包含两个数据项STU(user,password)

Java:

只有当user(用户名)和password(都对应时才可以登录成功)
在这里插入图片描述

当用拼串的方式进行操作时:(有关拼串的代码上篇博客

SQL语句编写:
String sql = “select * from STU where “;
sql = sql + “username=’”+ user +”’ AND password=’” + password + “’”;

  • 情况1(账号密码正确)

String user = “tom”;
String password = “123321”;
在这里插入图片描述
登录成功

  • 情况2(账号密码不对应情况1)

String user = “tom1”;
String password = “123321”;

在这里插入图片描述
登录失败,到这儿还一切正常但是

  • 情况3(账号密码不对应)

String user = "a ’ OR password = “;
String password = " OR ‘1’ = '1”;
在这里插入图片描述
账号密码不对应的情况下,完成了登录
我们将SQL语句拿出来
select *
from STU
where username=‘a ’ OR password = ’ AND password=’ OR ‘1’ = ‘1’

条件判断语句被分成了三个部分

  • username = ‘a’
  • password = ‘AND password=’
  • ‘1’=‘1’

显然最后’1’='1’必然成立,这就是SQL注入

如何解决SQL注入?

用PreparedStatement处理SQL语句即可

SQL语句编写:
String sql = “Select * from STU where username=? AND password=?”;

  • 情况一(用户名密码对应)

String user = “tom”;
String password = “123321”;
在这里插入图片描述

  • 情况二:(用户名密码不对应1)
    String user = “tom1”;
    String password = “123321”;
    在这里插入图片描述
  • 情况三(用户名和密码不对应2
    String user = "a ’ OR password = “;
    String password = " OR ‘1’ = '1”;
    在这里插入图片描述
有效的防止了SQL注入

相关代码:

public class SQLInject {
	public static void main(String[] args) {
		Connection conn = null;
		Statement stmt = null;
		try {
		conn = JDBCTools.getConnection();
		stmt = conn.createStatement();
  		//能被SQL注入
		//   String sql = "select * from STU where ";
		//   //Sql注入
		//   JDBCTools.inject(sql);
		String sql = "Select * from STU where username=? AND password=?";
   		JDBCTools.inject2(sql);
   		} catch (Exception e) {
   		e.printStackTrace();
   		} finally {
   		JDBCTools.closeResource(conn, stmt, null);
   		}
   	}
   }

拼串语句SQL注入:

public static void inject(String sql) {
  Connection conn = null;
  Statement stms = null;
  ResultSet res = null;
  
  try {
   conn = JDBCTools.getConnection();
   
   //SQL注入
   String user = "a ' OR password = ";
   String password = " OR '1' = '1";
   
   //正常登录
//   String user = "tom1";
//   String password = "123321";
   sql = sql + "username='"+ user +"' AND password='" + password + "'";
   
   System.out.println(sql);
   
   stms = conn.createStatement();
   
   res = stms.executeQuery(sql);
   
   if(res.next()) {
    System.out.println("登录成功");
   }else {
    System.out.println("登录失败");
   }
   
  } catch (Exception e) {
   e.printStackTrace();
  } finally {
   JDBCTools.closeResource(conn, stms, null);
  }
  
 }

PreparedStatement语句防止SQL注入:

public static void inject2(String sql) {
  Connection conn = null;
  PreparedStatement ps = null;
  ResultSet res = null;
  
  try {
   conn = JDBCTools.getConnection();
   
   //SQL注入
   String user = "a ' OR password = ";
   String password = " OR '1' = '1";
   
   //正常登录
//   String user = "tom1";
//   String password = "123321";
   ps = conn.prepareStatement(sql);
   
   ps.setString(1, user);
   ps.setString(2, password);
   
   System.out.println(sql);
   
   
   
   res = ps.executeQuery();
   
   if(res.next()) {
    System.out.println("登录成功");
   }else {
    System.out.println("登录失败");
   }
   
  } catch (Exception e) {
   e.printStackTrace();
  } finally {
   JDBCTools.closeResource(conn, ps, null);
  }
  
 }

完事儿!

即客。
关注
JDBC_PreparedStatement防止SQL注入问题详细介绍
weixin_50991263的博客
05-16 375
PreparedStatement 作用:1.提升SQL执行性能 2.预防SQL注入问题 SQL注入SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5401
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
JDBC学习日记--preparedStatement的使用
qq_39887036的博客
11-19 263
preparedStatement简介: preparedStament是Statement的子接口,可以传入带占位符的SQL语句并且提供了补充占位符的方法 PreparedStatement相对于Statement的优点: 代码的可读性和可维护性更高 PreparedStatement可最大程度的提高性能 语句会在被DBServer的编译器编译后的代码被缓存下来,下次调用时相同的语句就不需要再次...
JDBC 查询日志变得简单 使用增强型PreparedStatementJDBC代码增加日志功能
qct222的专栏
02-22 514
Jens Wyke (jens.wyke@se.ibm.com ), 顾问, IBM Jens Wyke 是瑞典IBM企业咨询服务部顾问,他设计和构建了电子商务解决方案并经常使用Java技术和IBM WebSphere系列产品。可以通过 jens.wyke@se.ibm.com 与 Jens联系。 简介:  JDBC java.sql.PreparedStatement接口的简单扩展可以使查询记录更少犯错,同时整理您的代码。在本文中,IBM电子商务顾问Jens
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1257
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里和大家一起学习
JDBC-PreparedStatement类详解(解决SQL注入)
qq_43531919的博客
07-26 481
PreparedStatement:执行sql的对象 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1. 输入用户随便,输入密码:a' or 'a' = 'a 2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 2. 解决sql注入问题:使用PreparedStatement对象来解决 3. 预编译的SQ
JDBC PreparedStatement解决SQL注入问题
ZikM的博客
06-03 196
PreparedStatement解决SQL注入问题 package com.atguigu2.statement.crud; import java.lang.reflect.Field; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.ResultSetMetaData; import java.util.ArrayList; import
Java日记JDBC处理 , 防注入与实体关系映射(含图解)
qq_45596525的博客
05-21 219
书接上文 , 使用上中查询,修改方法十分不方便 , 并且安全性较低 , 因此本篇介绍安全性更高的预处理和更加通用的实体关系映射 预备知识 实体关系映射 : ORM(Object/Relation Mapping): 对象/关系映射 , 将对数据库的操作映射为对Java对象的操作 预处理: 将MySQL语句进行一次预处理 , 可确保对数据库的操作不会被恶意修改 PreparedStatement接口 : 背景 在实际开发中 , 往往需要将程序变量作为查询的条件 , 且Statement接口安全性不高 ,因此需
学习日记第八天—MyBatis
qq_43460857的博客
11-01 184
映射文件 MyBatis 的真正强大在于它的映射语句,也是它的魔力所在。由于它的异常强大,映射器的 XML 文件就显得相对简单。如果拿它跟具有相同功能的 JDBC 代码进行对比,你会立即发现省掉了将近 95% 的代码。MyBatis 就是针对 SQL 构建的,并且比普通的方法做的更好。 ...
学习Mysql的第n天【完结】
m0_59806936的博客
05-17 157
基于狂神的MySQL教程来编写本人的学习MySQL日记
java的c/s开发实例
09-12
4. **预编译语句与参数绑定**:为了提高安全性,防止SQL注入攻击,通常使用PreparedStatement来执行包含动态参数的SQL语句。预编译的语句可以在执行前先编译,提高效率,且可以方便地绑定Java变量作为参数。 5. **...
实训日记(1)
weixin_43818879的博客
06-25 505
JAVA开发环境的配置以及JDBC复习 感想 今天是实训的第一天,原本想着第一天应该会轻松一些,但是后来发现并非如此,第一天的安排就已经非常满了。一大早我们就来到了中软国际的机房,迎接我们的不仅有这里的大牛而且还有他们带来的分组试卷,原本以为自己对编程基础应该还算掌握得可以,然而在看到试卷后还是不知该从何下手,尤其是最简单TCP的四次握手的原因,我怎么想都想不起来,看来还是得不断复习之前内容,不然...
JDBC——SQL注入、PreparedStatement
qq_43575044的博客
09-14 171
基本介绍 Statement 对象用于执行静态 SQL 语句并返回其生成的结果的对象 在连接建立后,需要对数据库进行访问,执行命名或是 SQL 语句,可以通过: 1.Statement【存在SQL注入】 2.PreparedStatement【预处理】 3.CallableStatement【存储过程】 Statement 对象执行 SQL 语句,存在 SQL 注入风险 SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,恶意攻击
JDBC用PrepareStatement解决SQL注入
最新发布
qq_46534049的博客
01-31 2367
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 859
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC要点总结、SQL注入示例(Statement和PreparedStatement
厚积而薄发,谋定而后动
03-23 8078
一、三个重要对象:    a.Connection   代表着Java程序与数据库建立的连接。    b.Statement   代表SQL发送器,用于发送和执行SQL语句。    c.ResultSet   代表封装的数据库返回的结果集,用于获取查询结果。 二、编程步骤:          1、加载驱动(需要事先将驱动程序对应的jar文件放到classpath对应的
JDBC中使用PreparedStatement代替Statement,同时预防SQL注入
weixin_30533797的博客
03-13 197
  本篇讲诉为何在JDBC操作数据库的过程中,要使用PreparedStatement对象来代替Statement对象。   在前面的JDBC学习中,对于Statement对象,我们已经知道是封装SQL语句并发送给数据库执行的功能,但是实际开发中,这个功能我们更经常用的是Statement类的子类PreparedStatement类的对象来实现,而不是采用Statement对象。   Stat...
java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1215
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
Java使用PreparedStatement与Filter防止SQL注入
2. 使用PreparedStatement:PreparedStatement不仅提高了代码的可读性和性能,更重要的是它对特殊字符进行了转义处理,自动防止了SQL注入。当设置参数时,PreparedStatement会正确处理引号和其他特殊字符,从而阻止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值