jdbc中Statement产生的SQL语句注入问题解决办法

最新推荐文章于 2024-03-12 15:32:42 发布
最新推荐文章于 2024-03-12 15:32:42 发布
阅读量351 收藏
点赞数
分类专栏: jdbc 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42160112/article/details/107897197
版权

问题描述

用户输入一个城市编号,根据该城市编号,删除数据库中city表对应的记录。

正常执行:

在这里插入图片描述

注意,由于依赖于用户输入,用户就可以随便输入内容,拼接到sql语句中,假如用户的输入是:
100 or 1=1
请问,会出现什么结果?

在这里插入图片描述

以上这就称为sql注入问题
这种问题产生的根本原因就是,将用户输入的内容直接拼接到sql语句中执行!!!

解决办法

Preparement代替Statement
在这里插入图片描述
再次输入一直成立的id,它的结果只会删除掉id为12的城市,这样就解决了sql语句注入问题
在这里插入图片描述

使用以上这种占位符的方式,可以有效的防止sql注入问题,并且省去了拼接sql语句的复杂。

其实,PreparedStatement 是 Statement的子接口。

冲冲冲,架构师
关注
专栏目录
【JAVA高级】——吃透JDBCSQL注入问题解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBCSQL注入问题解决方案
JDBC:使用Statement操作数据库时产生SQL注入问题原因分析
weixin_45873215的博客
12-16 594
SQL注入问题简单介绍 1.JDBC使用Stement对数据库增删改查, 执行sql语句时使用拼接字符串会导致SQL注入 2.JDBC使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其登录数据库的账号和密码在java控制台由键盘输入。 建表语句(本人使用的数据库是mysql数据库) create datebase basketball; use basketball; create table l
03. jdbc Statement sql注入风险
Java 程序源
08-27 467
1. Statement 用法 Statement 用法比较简单, 不需要设置参数. 创建了Statment对象之后, 直接执行sql即可. 执行步骤可总结如下: 获取数据库连接 创建Statment对象 执行sql 增删改: 执行executeUpdate(sql)方法, 返回sql影响的行数 查询: 执行executeQuery(sql)方法, 返回查询结果ResultSet, 然后解析结...
JDBC关于StatementSql注入问题
发光吖的博客
09-11 1089
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
JDBC:使用Statement引发SQL注入
赵博林
12-05 1161
1. 什么是 SQL 注入jdbc程序执行时, sql语句拼接时由页面传入参数,如果用户恶意传入一些sql的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入。 2. 引子: sql注入的危害: 黑客可以一行代码登录超管账户,对数据库造成不可挽回的损失。 参考用户注册登录案例: // 用户登录验证(字符串拼接) String sql = "select * from s_user where loginName = '"+ loginName +"' and login
jdbc-- StatementSQL注入演示
qq_43619461的博客
11-05 113
StatementSQL注入演示 解决方案: preparedStatement 测试用户名: 1' or 测试密码: or '1'='1 // StatementSQL注入演示 @Test public void statementSqlDemo() throws ClassNotFoundException, InstantiationException, IllegalAccessException, SQLException, IOException {
【大数据系列之JDBC】(四):Statement存在SQL注入问题
CSDN 精品推荐
12-22 311
但是使用Statement存在SQL注入问题SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面会多一个。
JmeterJDBC request多条SQL语句使用.docx
10-26
本文将重点介绍如何在JMeter使用JDBC Request来执行多条SQL语句,包括查询与更新操作,并针对不同类型的SQL语句提供最佳实践。 #### 二、JDBC Request概述 JDBC Request是JMeter提供的一个用于执行数据库操作的...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
在Java的JDBC编程,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
JDBC——Statement执行SQL语句的对象
helloworld
02-28 560
Statement该对象用于执行静态SQL语句并返回它产生的结果。表示所有的参数在生成SQL的时候都是拼接好的,容易产生SQL注入问题 PreparedStatement对象是一个预编译的SQL语句。动态SQL 功能1.执行SQL 3个方法 ①方法:execute() 可以执行任意的SQL,用的不多了解 修饰/返回值类型:boolean 2.executeUpdate() 执行DML语句 ...
JDBCSQL注入
Leessang
05-22 943
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。 1.2 S
jdbc_mysql(二)Statement实现sql注入,PrepareStatement解决注入
weixin_35695688的博客
05-31 253
一、 问题描述 目标:java通过键盘输入关键词拼接sql去数据库查找。 存在问题:键盘输入关键字,拼接后没有产生过滤效果,反而查出了所有记录 二、Statement代码实现 1.在src目录下新建injection.properties连接数据库的配置文件 url=jdbc:mysql://192.168.132.2:3306/mysql_test user=mysql_test password=BJjbHSKFGESJrtpP 2.新建连接数据库的工具类InjectionUtils,实现连接数据
Statement注入问题浅谈
Stan的专栏
03-22 379
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
剖析JDBC代码——SQL注入攻击(浅显易懂)——Statement
FlorenceZKY的博客
04-19 322
1、创建一个模拟的类UserLogin package com.sie.train; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.u...
JDBC】解决SQL注入问题以及Statement和PreparedStatement对比
为技术发烧而生
09-05 215
只要用户提供的信息不参与sql语句的编译过程,问题就解决了。即使用户提供的信息含有sql语句的关键字,但是没有参与编译,不起作用。用户输入的信息包含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而达到sql注入。PreparedStatement是先对sql语句进行预编译,然后再传入变量值,预编译的待传参数部分用?
java statement sql_java JDBC-statement接口实现简单的sql语句调用
weixin_32392867的博客
02-21 186
最后必须要关闭两个连接public class Demo2 {public static void main(String[] args) {try {Class.forName("com.mysql.jdbc.Driver");Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root"...
Java使用Statement接口SQL语句
MT2048的博客
07-02 8220
Statement执行SQL语句: 1. 对数据库的曾删改操作时,使用stmt.executeUpdate(sql  执行给定 SQL 语句,分别为 insert 、update、delete. 2. 对数据库做查询时,直接使用 stmt.executeQuery(sql),返回结果可以为一个resultSet结果集。 首先做一些准备工作: ①对要进行操作的数据
H2数据库关键字导致org.hibernate.tool.schema.spi.CommandAcceptanceException: Error executing DDL
qq_43041751的博客
06-09 2596
h2创表问题
【码匠社区项目】问题:创建SQL语句时提示:expected “identifier“
最新发布
Florenceee的博客
03-12 631
同步一下最近遇到的一些问题解决方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值