JDBC技术(三)——预防SQL注入攻击

最新推荐文章于 2022-10-31 08:58:07 发布
最新推荐文章于 2022-10-31 08:58:07 发布
阅读量188 收藏 1
点赞数
分类专栏: JDBC 文章标签: SQL注入预防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41819988/article/details/99960307
版权

【前言】

针对上一篇博客中,通过SQL语句漏洞进行注入攻击的案例,在本篇博客,我们就来学习一下,如何预防SQL注入攻击。

【思路】

使用 Statement 的一个子接口 PreparedStatement prepareStatement(String sql)  ,来实现预防SQL注入

【代码】

public class JDBCDemo3 {
	public static void main(String[] args)throws Exception {
		Class.forName("com.mysql.jdbc.Driver");
		String url = "jdbc:mysql://localhost:3306/day07";
		String username = "root";
		String password = "root";
		Connection con = DriverManager.getConnection(url, username, password);
		Scanner sc = new Scanner(System.in);
		System.out.print("用户名:");
		String user = sc.nextLine();
		System.out.print("密码:");
		String pass = sc.nextLine();
		
		//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
		String sql = "SELECT * FROM users WHERE username=? AND PASSWORD=?";
		//调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
		//方法中参数,SQL语句中的参数全部采用问号占位符
		PreparedStatement pst =  con.prepareStatement(sql);
		System.out.println(pst);
		//调用pst对象set方法,设置问号占位符上的参数
		pst.setObject(1, user);
		pst.setObject(2, pass);
		
		//调用方法,执行SQL,获取结果集
		ResultSet rs = pst.executeQuery();
		while(rs.next()){
			System.out.println("登陆成功!");
			System.out.println("您的用户名为:"+rs.getString("username")+"   您的密码为:"+rs.getString("password"));
		}
		
		rs.close();
		pst.close();
		con.close();
	}
}

正常登陆:

进行SQL注入攻击:

因此,建议以后的登录校验中,使用Statement 的子接口prepareStatement,可以防止注入攻击。

 

子木_Lee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在使用jdbc的时候,如何防止出现sql注入的问题
qq_65951398的博客
05-30 1434
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句中,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库中。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库中存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
JDBCSQL注入
qq_46093575的博客
05-16 224
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库。
Java-JDBC防止SQL注入攻击
yy310585的博客
01-29 230
Java-JDBC防止SQL注入攻击 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 例如 我们在JDBC中写的验证用户登录的方法是直接使用Statement执行的,那么SQL语句就是直接使用字符串拼接的形式"select * from account where username ='"+username+"' and passwo
JDBCSQL注入漏洞分析和解决
学亮编程手记
01-26 404
SQL注入漏洞分析 SQL注入漏洞解决 需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 public class UserDao { public boolean login(String username,String...
JDBCSQL注入注入攻击原理
YCixZoem的博客
03-12 947
最近在学jdbc的数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,  那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
sqljdbc4-3.0.jar
12-22
sqljdbc4-3.0.jar,JAVA支持SQL SERVICE 2000版本的JDBC
sqlserver 2000 8版本jdbc驱动
09-01
适用于连接sqlserver 2000 8版本数据库时提示驱动不兼容的问题。
JAVA使用JDBC技术操作SqlServer数据库实例代码
08-31
在Java编程中,JDBC(Java Database Connectivity)是Java平台的标准接口,用于连接各种关系型数据库,包括SQL Server。本文将深入讲解如何使用JDBC在Java中与SQL Server数据库进行交互,通过实例代码来演示数据的增...
JDBC注入攻击
努力写代码
12-18 223
package cn.huhui.jdbc; import java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;impor
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4816
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
jdbc——sql注入
m0_72960906的博客
10-31 938
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 760
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC如何有效防止SQL注入
rentian1的博客
09-01 1184
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什
JDBC编程——SQL注入问题以及解决方案
Best_Basic的博客
09-05 952
SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 解决SQL注入问题的方案: 只要用户提供的信息不参与sql语句的编译过程,问题就解决了。 即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。
JDBC防止SQL注入原理
tinaselling的博客
11-22 1479
一、基本解釋 1.JDBC(Java DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
jdbcTemplate动态查询且防止sql注入实现
佳佳乐的博客
03-06 4585
使用jdbcTemplate.update(sql, array); 防止sql注入 public Object updateCarGroup(CarGroupInfo carGroupInfo) { try { List<Object> param = new ArrayList<>(); String sql = "UPDATE car_grou...
JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5375
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
第三方框架预防sql注入
最新发布
09-23
第三方框架可以采取以下措施来预防SQL注入: 1. 使用ORM(对象关系映射)框架:ORM框架可以自动将对象与数据库表进行映射,从而避免了手动编写SQL语句的过程,减少了SQL注入的风险。 2. 使用预编译语句:许多第三...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值