JavaWeb篇之二------sql注入的原理和解决方法(预编译)

最新推荐文章于 2023-09-16 17:58:10 发布
最新推荐文章于 2023-09-16 17:58:10 发布
阅读量481 收藏 1
点赞数
文章标签: java mysql SQL注入 预编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42077566/article/details/102600457
版权

引言

在上一篇最末,我展示了sql注入现象,接下来我们来探究sql注入的本质原理

Sql注入及解决方法

我们打个断点,debug调试一下(不清楚代码的可以看上一篇)
在这里插入图片描述
在这里插入图片描述
我们可以看到“泊进之介”和“or ‘1’=‘1’”被拼接在一起作为s2对象
在这里插入图片描述
而最后的sql查询语句就变成了 “select * from KamenRider where ridername=‘Driver’ and username=‘泊进之介’ or ‘1’ =‘1’”,而因为满足了‘1’=‘1’,所以获得了查询结果。
用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义,以上问题称为SQL注入。所以对于登录这种操作,如果利用sql注入可以直接登录而无需正确的用户名和密码。

解决方法:需要使用PreparedStatement类解决SQL注入。
我们写的SQL语句让数据库执行,数据库不是直接执行SQL语句字符串。和Java一样,数据库需要执行编译后的SQL语句(类似Java编译后的字节码文件)。

prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement能够使用预编译后的语句,多次传入不同的参数给PreparedStatement对象并执行。这就相当于相当于Java中多次调用相同的方法传入不同的参数,达到一个复用的效果。

接下来我们使用PreparedStatement来改造我们的代码

  public static void main(String[] args) throws Exception {
        //注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //获取连接对象并连接数据库
        String url = "jdbc:mysql:///demo";
        String username = "root";
        String password = "root";
        Connection connection = DriverManager.getConnection(url, username, password);

        System.out.println("请输入骑士名");
        Scanner scanner = new Scanner(System.in);
         String s1 = scanner.nextLine();

        System.out.println("请输入使用者名");
        Scanner scanner1 = new Scanner(System.in);
        String s2 = scanner.nextLine();
        //预编译
        String sql = "select * from KamenRider WHERE ridername=? AND username=?";
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        //传入参数
        preparedStatement.setString(1,s1);
        preparedStatement.setString(2,s2);
                
        //处理执行结果
        ResultSet resultSet =preparedStatement.executeQuery();
       if (resultSet.next()){
           System.out.println("变身成功");
       }else{
           System.out.println("变身失败");
       }
        //释放资源
        preparedStatement.close();
    }

可以看到在传入数据之前,我们先用prepareStatement方法先预编译了sql语句并返回一个PrepareStatement对象,其中在sql语句中待传入数据的位置我们使用?来代替。而传入参数时第一个int常量表示要传入的变量所在的?是第几个。

我们来测试下结果
在这里插入图片描述
在这里插入图片描述
我们可以看到在数据库中存在的宝生永梦变身成功了,但是数据库中不存在的泊进之介,即使利用了sql注入也没有变身成功,这就是我们想要达成的效果。(数据库的数据也请翻看上一篇)

playmaker的show就要开始了
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 5062
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
javaweb课程设计----审计系统
07-14
JavaWeb课程设计——审计系统是基于SSM(Spring、SpringMVC、MyBatis)框架和MySQL数据库构建的一个项目。这个系统充分利用了现代Web技术,包括HTML5、CSS3和jQuery,以提供用户友好的前端界面。以下是这个项目中...
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
编译预处理机制(SQL注入问题解决原理
lf1949的博客
03-24 2562
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
java sql预编译_Java中使用prepareStatement预编译为什么就可以防止sql注入了,具体原理是什么样的?...
weixin_32236881的博客
02-12 385
举个栗子,使用sql拼接:"select * from user where username = ' " + username + " ' ";页面上可能会有个输入框:用户名:________________________如果有人这么填:用户名:___hello'; delete from user where id='1__最终的Sql就是 "select * from user where...
sql预编译原理
aidupo6157的博客
06-18 1679
ps:使用预编译时,当再次传递新的参数,只需要把参数传递给数据库,执行响应的函数,不需要再进行sql校验,编译 转载于:https://www.cnblogs.com/sflik/p/4587368.html...
SQL预编译原理
AoaNgzh的博客
05-04 832
通过SQL预编译,可以减少SQL语句的解析和编译时间,提高数据库的执行效率。此外,SQL预编译还可以防止SQL注入攻击,因为预编译的过程会对SQL语句和参数进行严格的类型检查和转换,使得攻击者无法通过注入恶意代码来破坏SQL语句的结构和语义。SQL预编译是一种常见的数据库优化技术,其基本原理是将SQL语句和参数分开处理,先将SQL语句编译成一种中间形式,再将参数值与编译后的SQL语句进行动态绑定,最终生成可以直接执行的SQL语句。客户端向数据库发送预编译请求,其中包含SQL语句和参数列表。
javaWeb电脑维修管理系统源码.zip_-baijiahao_accountwzp_javaWeb电脑维修管理系统源码_ja
09-23
例如,使用HTTPS协议加密传输数据,使用预编译SQL语句防止SQL注入,或者使用CSRF token防止跨站请求伪造。 8. **图片资源**:压缩包中的2.jpg和1.jpg可能是系统的界面截图或示例图片,用于展示系统的外观和功能。...
javaweb520-JavaWeb-master.zip
02-06
8. **Spring框架**:Spring是JavaWeb开发中最常用的框架之一,它提供了依赖注入、AOP(面向切面编程)、事务管理等功能,简化了企业级应用的开发。 9. **MyBatis**:MyBatis是一个持久层框架,它简化了SQL操作,将...
mysql-connector-java-5.1.14-bin.jar
11-30
同时,注意安全问题,如使用预编译的语句防范SQL注入,以及及时更新驱动以修复已知的安全漏洞。 总的来说,mysql-connector-java-5.1.14-bin.jar是JavaWeb开发中连接MySQL数据库不可或缺的组件,理解其工作原理和...
SQL注入攻击原理分析及JavaWeb环境下的防范措施.pdf
07-23
网络的广泛应用给社会带来极大便捷,网络安全特别是SQL 注入也成为了一个倍受关注的问题。与此同时,Java Web 由于其平台无关性、“一次编写、随处运行”,使得越来越多的程序员加入到Java 当中。本文在分析了SQL 注入原理的基础上,提出了几点Java Web 环境下防范措施。   随着Ineternet 技术的迅猛发展,为了能更充分地使用互联网这个世界上最大的交流平台,许多单位或个人纷纷建立自己的网站。但是网络为企业提供了新的机遇,但是同时它也给安全、性能等领域带来了新的风险。而SQL 注入就是众多风险中较为常见的一种。   SQL 注入是从正常的WWW 端口访问,而且表面看起来跟一般的Web 页面访问没什么区别,所以目前市面的防火墙都不会对SQL 注入发出警报,如果管理员没查看日志的习惯,可能被入侵很长时间都不会发觉。   其实SQL 注入主要还是一些程序员的水平及经验参差不齐,没有对用户输入数据的合法性进行判断。使应用程序存在安全隐患,任何用户可以提交一段数据库查询代码,并根据程序返回的结果,获得某些他想得知的数据,造成用户可以在输入中包含恶意代码篡改程序功能。更严重的用户还可能窃取最高管理权限,删除数据库中所有的数据。
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
毕业设计论文-IT计算机-JavaWeb图书管理系统-源码.zip
最新发布
04-02
SQL语句用于对数据库进行增删查改操作,例如,通过PreparedStatement预编译SQL以防止SQL注入攻击。 5. **框架集成**:为了提高开发效率和代码复用,可能使用Spring框架进行依赖注入和事务管理,Hibernate进行对象...
sql预编译真正原理
qq_42521154的博客
12-06 2661
众所周知,数据库会对sql进行语法分析,词法分析,语义分析,如果一条sql 采用拼接方式 例如: select * from test where id= ’ + x + ’ x= 1’;delete from 'test 这样进入数据库就变成了 select * from test where id= ’ 1 '; delete from 'test’ 会被数据库解析成两条sql 但是预编译会让数据库跳过编译阶段,也就无法就进行词法分析,关键字不会被拆开,所有参数 直接 变成字符串 进入 数据库执行器执行
java sql in 预编译_JAVA使用预编译防止SQL注入
weixin_35513543的博客
02-21 1245
原标题:JAVA使用预编译防止SQL注入这是一条正常的SQL语句:SELECT * FROM users WHERE name ='$var';但是当变量var为 ' or true or '时,整条语句就变成:SELECT * FROM users WHERE name ='' or true or '';很明显,这条语句WHERE后面跟的条件无论如何都为真,所以会有SQL注入现象的产生,咋JA...
sql 预编译 & 防止sql注入
梦~'
10-10 3970
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
解决登录时sql注入方法:预编译时放入sql(java)
zhan_qian的博客
03-10 1186
1、使用import java.sql.PreparedStatement; 2、先将sql里用户名和密码分别用?占位,先预编译sql放入PreparedStatement的对象中。 然后用调用该对象的set方法将用户名和密码设置,接着执行。 3、这样做的话如果密码被注入为' or '1' = '1,在设置密码时会将'转义为\';即: select * from tb_user where username ='lisi' and password = '\' or \'1\' = \'1'..
预编译sql注入
weixin_54855337的博客
12-05 2853
预编译sql注入
javaSE JDBC, PreparedStatement接口, 防SQL注入, 预编译SQL语句
houyanhua1的专栏
06-22 640
Demo.java:package cn.xxx.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Sca...
JavaWeb应用中JDBC数据库连接详解-第4章焦点
5. **PreparedStatement接口**:预编译SQL语句接口,继承自Statement,效率更高且支持参数化查询,防止SQL注入。 6. **CallableStatement接口**:用于执行SQL存储过程,继承自PreparedStatement,专门处理数据库中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值