jdbc中的sql注入问题

最新推荐文章于 2022-10-31 08:58:07 发布
最新推荐文章于 2022-10-31 08:58:07 发布
阅读量117 收藏
点赞数
文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40359381/article/details/105003001
版权

jdbc连接数据库

创建的db.properties工具类获取配置信息

driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false
user=root
password=123456

创建util公共类

public class JdbcUtils {
    private static String driver = null;
    private static String url = null;
    private static String user = null;
    private static String password = null;

    static{
        try {
            InputStream in = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
            Properties properties = new Properties();
            properties.load(in);

            driver = properties.getProperty("driver");
            url = properties.getProperty("url");
            user = properties.getProperty("user");
            password = properties.getProperty("password");

            Class.forName(driver);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    public static Connection getConnection() throws SQLException {
            return DriverManager.getConnection(url, user, password);
    }
    public static void release(Connection conn, Statement st,ResultSet rs){
        if(rs != null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(st != null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if(conn != null){
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

通过jdbc操作数据库(使用Statement进行操作)

public class Test {
    public static void main(String[] args) {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            //建立连接
            conn = JdbcUtils.getConnection();
            //执行sql的对象
            st = conn.createStatement();
            String sql = "INSERT INTO users(`id`,`name`,`password`,`email`,`birthday`)" +
                    "VALUES('4','zhaoliu','123456','zl@sina.com','2020-02-01')";
            long i = st.executeLargeUpdate(sql);
            if(i>0){
                System.out.println("插入成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

当时用以上方法进行操作时,在封装工具类的时候,进行字符串拼接操作可能会造成sql注入,导致程序极不安全,因此可以改用PreparedStatement进行操作,提前对sql预编译,然后赋值,而不是直接执行sql,从而加大了程序的安全性。

public class Test {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        try {
            conn = JdbcUtils.getConnection();
            //预编译
            String sql = "INSERT INTO users(`id`,`name`,`password`,`email`,`birthday`)VALUES(?,?,?,?,?)";
            st = conn.prepareStatement(sql);
            //设置参数
            st.setInt(1,4);
            st.setString(2,"zhaoliu");
            st.setString(3,"123456");
            st.setString(4,"zl@sina.com");
            //获取数据库可执行时间
            st.setDate(5, new java.sql.Date(new Date().getTime()));

            int i = st.executeUpdate();

            if(i>0){
                System.out.println("插入成功");
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(conn,st,null);
        }

    }
}
倔强100%
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题。 Mybatissql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
jdbc——sql注入
m0_72960906的博客
10-31 941
在用户输入的数据SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBCSQL注入
DZH2020的博客
08-14 1113
JDBCSQL注入
JDBC-SQL注入问题
Neuclil的博客
10-12 552
当用name作为参数时, 如果名字里面含有or 等带有歧义的情况时, 或导致错误。比如String name = "or 1 or "将导致全部的记录都会被输出。这种错误叫做sql注入。我们需要将过滤的工作交给数据库来处理。即PreparedStatement ps. 例子如下: PreparedStatement ps = null; String sql = "sele
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
sqljdbc42 jdbc for java
07-19
3. 参数化查询:避免SQL注入攻击,应使用PreparedStatement进行参数化查询。 4. 使用JDBC 4.2新特性:如利用try-with-resources语法自动关闭资源,简化代码。 总结,SQLJDBC42作为Java与SQL Server之间的关键接口,...
解决JDBC编程过程SQL注入问题
qq_42449963的博客
12-21 169
首先看一段代码: 模拟用户登录: public class UserLogin { public static void main(String[] args) { Map<String,String> map = initUI(); boolean flag = check(map.get("username"),map.get("passwo...
攻击JavaWeb应用[3]-SQL注入[1]
xiaoshan812613234的专栏
11-14 1795
注:本节重点在于让大家熟悉各种SQL注入在JAVA当的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。
JDBC碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 270
Sql注入问题 学习JDBC的过程学到了一个Sql的安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
防止SQL注入
weixin_33873846的博客
03-28 190
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
JDBC使用PreparedStatement代替Statement,同时预防SQL注入
weixin_30533797的博客
03-13 190
  本篇讲诉为何在JDBC操作数据库的过程,要使用PreparedStatement对象来代替Statement对象。   在前面的JDBC学习,对于Statement对象,我们已经知道是封装SQL语句并发送给数据库执行的功能,但是实际开发,这个功能我们更经常用的是Statement类的子类PreparedStatement类的对象来实现,而不是采用Statement对象。   Stat...
JDBCSQL注入问题
毛豆豆的博客
01-16 476
在Java执行SQL语句的过程,由于用户提供的信息含有SQL关键字,进行编译的过程,会扭曲原SQL语句的含义,所以我们应当避免SQL语句的注入,那么如何避免呢?  先定义SQl语句框架,对SQL语句进行预先编译,只编译一次,然后再去接收用户提供的信息;  *    用户提供的信息即使含有SQL语句的关键字,这些关键字不参与这次SQL语句的编译,是不起作用的。  *    采用这种方式
SQL,有效防止like的SQL注入
白高林的专栏
03-12 5531
SQL有效防止like的SQL注入 #{xxx},使用的是PreparedStatement,会有类型转换,所以比较安全。 ${xxx},使用字符串拼接,可以SQL注入。 like查询不小心会有漏动,正确写法如下: Mysql select * from t_user where name like concat('%', #{name}, '%') Oracle select...
【spring】jdbcTemplate之sql参数注入
idongit的博客
07-04 3235
做个标记移步大神博客:https://www.cnblogs.com/VergiLyn/p/6161081.html
jdbc sql注入
最新发布
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值