解决JDBC编程过程中的SQL注入问题

最新推荐文章于 2021-07-30 22:54:03 发布
最新推荐文章于 2021-07-30 22:54:03 发布
阅读量172 收藏
点赞数
分类专栏: java学习之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42449963/article/details/103643508
版权

首先看一段代码:
模拟用户登录:

public class UserLogin {
    public static void main(String[] args) {
        Map<String,String> map = initUI();
        boolean flag = check(map.get("username"),map.get("password"));
        System.out.println(flag?"登录成功":"登录失败");
    }

    private static boolean check(String username, String password) {
        Connection conn = null;
        Statement stat = null;
        ResultSet res = null;
        try {
            ResourceBundle rb = ResourceBundle.getBundle("resource/db");
            // 1、注册驱动
            String driver = rb.getString("driver");
            Class.forName(driver);

            // 2、获取连接
            String url = rb.getString("url");
            String user = rb.getString("user");
            String pw = rb.getString("password");
            conn = DriverManager.getConnection(url, user, pw);

            // 3、获取数据库操作对象
            stat = conn.createStatement();

            // 4、执行SQL
            String sql = "select * from t_user where username='"+username+"' and password='"+password+"'";
            res = stat.executeQuery(sql);

            // 5、处理查询结果集
            if (res.next()){
                return true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (res!=null){
                try {
                    res.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stat!=null){
                try {
                    stat.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

        }
        return false;
    }

    private static Map<String, String> initUI() {
        Scanner sca = new Scanner(System.in);
        System.out.print("请输入用户名:");
        String username=sca.next();
        System.out.print("请输入密码:");
        String password=sca.next();
        Map<String,String> map = new HashMap<>();
        map.put("username", username);
        map.put("password", password);
        return map;
    }
}

db.properties:

# mysql 连接信息
driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/bjpowernode
user=root
password=**********

解释:上面的代码是模拟用户登录的密码,如果我正常的输入数据库中已有的username和password,就会出现登录成功字样,如果我输入的username是lisi,password是lisi’or’1’='1,这样也会登录成功,这就是出现了SQL注入的问题,导致SQL注入的根本原因是:用户输入的信息中含有SQL语句中的关键字,并且这些关键字参与了SQL编译;解决SQL注入的方法:使用PreparedStatement对SQL语句进行预编译,然后给占位符?传值,即使用户输入的信息中含有SQL语句的关键字,但是关键字没有参与编译也是不会起作用的,这样可以防止SQL注入问题;
解决SQL注入问题之后的用户登录代码如下:

public class UserLogin {
    public static void main(String[] args) {
        Map<String,String> map = initUI();
        boolean flag = check(map.get("username"),map.get("password"));
        System.out.println(flag?"登录成功":"登录失败");
    }

    private static boolean check(String username, String password) {
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet res = null;
        try {
            ResourceBundle rb = ResourceBundle.getBundle("resource/db");
            // 1、注册驱动
            String driver = rb.getString("driver");
            Class.forName(driver);

            // 2、获取连接
            String url = rb.getString("url");
            String user = rb.getString("user");
            String pw = rb.getString("password");
            conn = DriverManager.getConnection(url, user, pw);

            // 3、获取预编译的数据库操作对象
            String sql = "select * from t_user where username = ? and password = ?";// ?是占位符,接受将来的值
            ps = conn.prepareStatement(sql);// 把上面的SQL语句框架发送给DBMS,然后DBMS进行编译
            ps.setString(1, username);// 给占位符传值
            ps.setString(2, password);

            // 4、执行SQL
            res = ps.executeQuery();

            // 5、处理查询结果集
            if (res.next()){
                return true;
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (res!=null){
                try {
                    res.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null){
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

        }
        return false;
    }

    private static Map<String, String> initUI() {
        Scanner sca = new Scanner(System.in);
        System.out.print("请输入用户名:");
        String username=sca.next();
        System.out.print("请输入密码:");
        String password=sca.next();
        Map<String,String> map = new HashMap<>();
        map.put("username", username);
        map.put("password", password);
        return map;
    }
}

解释:其实就是把JDBC的第3步和第4步改了一下,在第3步中先把SQL语句框架写出来,里面需要传的参数用占位符?代替,然后获得预编译的数据库操作对象,然后根据占位符的数据类型通过不同的方法给占位符传值,方法里面第一个参数代表第几个占位符,这样来说,Statement由于会发生SQL注入问题,那它就没有作用了吗,当然不是,两个作用不同,下面我们进行Statement和PreparedStatement 的对比:1、Statement会导致SQL注入,PreparedStatement会防止SQL注入;2、Statement适合SQL语句拼接的业务,PreparedStatement 适合传值的业务,大多数情况使用PreparedStatement ;3、PreparedStatement 会在编译阶段进行类型的安全检查,也就是方法和里面传输的值的类型需要对应起来;4、PreparedStatement 效率更高,因为它编译一次,可以执行多次,因为如果两条SQL语句相同,那么你执行多次其实也就编译了一次,然后运行了多次,如果两条SQL语句有细微不同,甚至就是一个空格,也是编译两次的,上面说了Statement和PreparedStatement 的不同,下面给出实际的例子,比如通过输入不同的asc和desc来让该改变薪资的排列方式,其实这种运用的也很广泛,比如京东的手机价格排序、淘宝的商品价格排序都是可以升序和降序的,先弄一个出错的吧,使用PreparedStatement 例子如下:

public class Query2 {
    public static void main(String[] args) {
        Scanner sca = new Scanner(System.in);
        System.out.print("请输入desc或者asc完成员工薪资的降序或者升序排列:");
        String orderKey = sca.next();
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet res = null;
        try {
            ResourceBundle rb = ResourceBundle.getBundle("resource/db");
            // 1、注册驱动
            String driver = rb.getString("driver");
            Class.forName(driver);

            // 2、获取连接
            String url = rb.getString("url");
            String user = rb.getString("user");
            String pw = rb.getString("password");
            conn = DriverManager.getConnection(url, user, pw);

            // 3、获取预编译的数据库操作对象
            String sql = "select * from emp order by sal ?";
            ps = conn.prepareStatement(sql);
            ps.setString(1, orderKey);

            // 4、执行SQL
            res = ps.executeQuery();

            // 5、处理查询结果集
            while (res.next()){
                System.out.println("ename="+res.getString("ename")+",sal="+res.getString("sal"));
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (res!=null){
                try {
                    res.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null){
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

解释:这种会报错的,因为假设你输入desc,那么给占位符赋值的时候是加上’'单引号的,运行的时候不认识’desc’是什么东西,所以会报错,这个时候就需要使用Statement了,使用Statement例子如下:

public class Query {
    public static void main(String[] args) {
        Scanner sca = new Scanner(System.in);
        System.out.print("请输入desc或者asc完成员工薪资的降序或者升序排列:");
        String orderKey = sca.next();
        Connection conn = null;
        Statement stat = null;
        ResultSet res = null;
        try {
            ResourceBundle rb = ResourceBundle.getBundle("resource/db");
            // 1、注册驱动
            String driver = rb.getString("driver");
            Class.forName(driver);

            // 2、获取连接
            String url = rb.getString("url");
            String user = rb.getString("user");
            String pw = rb.getString("password");
            conn = DriverManager.getConnection(url, user, pw);

            // 3、获取数据库操作对象
            stat = conn.createStatement();

            // 4、执行SQL
            String sql = "select * from emp order by sal "+orderKey;
            System.out.println(sql);
            res = stat.executeQuery(sql);

            // 5、处理查询结果集
            while (res.next()){
                System.out.println("ename="+res.getString("ename")+",sal="+res.getString("sal"));
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (res!=null){
                try {
                    res.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (stat!=null){
                try {
                    stat.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

解释:这个就可以正确实现我们想要的作用了,上面提到了我们大多数情况使用的都是PreparedStatement,上面的程序中我们只演示了PreparedStatement对DQL语句的操作,下面我们演示如何摔死PreparedStatement进行DML语句的操作以及LIke模糊查询的使用:
PreparedStatement进行DML语句的操作:

public class CRUD {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet res = null;
        try {
            ResourceBundle rb = ResourceBundle.getBundle("resource/db");
            // 1、注册驱动
            String driver = rb.getString("driver");
            Class.forName(driver);

            // 2、获取连接
            String url = rb.getString("url");
            String user = rb.getString("user");
            String pw = rb.getString("password");
            conn = DriverManager.getConnection(url, user, pw);

            // 3、获取预编译的数据库操作对象
            /*String sql = "insert into dept values(?,?,?)";
            ps = conn.prepareStatement(sql);
            ps.setInt(1, 70);
            ps.setString(2, "天龙部");
            ps.setString(3, "东京");*/
            /*String sql = "update dept set dname=?,loc=? where deptno=?";
            ps = conn.prepareStatement(sql);
            ps.setString(1,"营销部");
            ps.setString(2,"北京");
            ps.setInt(3,70);*/
            String sql = "delete from dept where deptno=?";
            ps = conn.prepareStatement(sql);
            ps.setInt(1, 70);

            // 4、执行SQL
            int i = ps.executeUpdate();
            System.out.println(i);

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (res!=null){
                try {
                    res.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null){
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

解释:CRUD分别代表增加(Create)、读取(Retrieve)、更新(Update)和删除(Delete)
PreparedStatement进行Like模糊查询的操作:

public class Like {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet res = null;
        try {
            ResourceBundle rb = ResourceBundle.getBundle("resource/db");
            // 1、注册驱动
            String driver = rb.getString("driver");
            Class.forName(driver);

            // 2、获取连接
            String url = rb.getString("url");
            String user = rb.getString("user");
            String pw = rb.getString("password");
            conn = DriverManager.getConnection(url, user, pw);

            // 3、获取预编译的数据库操作对象
            String sql = "select * from emp where ename like ?";
            ps = conn.prepareStatement(sql);
            ps.setString(1, "%S%");

            // 4、执行SQL
            res = ps.executeQuery();

            // 5、处理查询结果集
            while (res.next()){
                System.out.println(res.getString("ename")+","+res.getString("sal"));
            }

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            if (res!=null){
                try {
                    res.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
            if (ps != null){
                try {
                    ps.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (conn!=null){
                try {
                    conn.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}
明快de玄米61
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC-SQL注入攻击问题解决方案
Fly_Fly_Zhang的博客
07-07 767
什么是SQL注入: 由于dao层执行的SQL语句是拼接出来的,其一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
JDBC解决sql注入问题
muli
01-15 1237
JDBC解决sql注入问题
jdbcsql注入问题
weixin_44048676的博客
06-15 180
问题出现的原因 在jdbc用于编译sql对象的Statement类的使用如 String sql = "select * from jdbc where username = '"+username+"' and password = '"+password+"' "; //获取执行sql的对象 stmt = conn.createStatement(); //执行sql语句 stmt.executeQuery(sql); 假如传入的参数username为 ’or 1=1 ;-- ,或者参数pas..
JDBCSQL注入问题
毛豆豆的博客
01-16 478
在Java执行SQL语句的过程,由于用户提供的信息含有SQL关键字,进行编译的过程,会扭曲原SQL语句的含义,所以我们应当避免SQL语句的注入,那么如何避免呢?  先定义SQl语句框架,对SQL语句进行预先编译,只编译一次,然后再去接收用户提供的信息;  *    用户提供的信息即使含有SQL语句的关键字,这些关键字不参与这次SQL语句的编译,是不起作用的。  *    采用这种方式
JDBC-SQL注入问题
Neuclil的博客
10-12 556
当用name作为参数时, 如果名字里面含有or 等带有歧义的情况时, 或导致错误。比如String name = "or 1 or "将导致全部的记录都会被输出。这种错误叫做sql注入。我们需要将过滤的工作交给数据库来处理。即PreparedStatement ps. 例子如下: PreparedStatement ps = null; String sql = "sele
SQL注入漏洞过程实例及解决方案
12-14
SQL注入漏洞是网络安全一个严重的问题,它允许恶意用户通过构造特定的输入,篡改数据库查询,从而获取敏感信息或执行非授权操作。在提供的代码示例,我们可以看到一个典型的SQL注入漏洞实例。 在`JDBCDemo3`类...
如何解决sql注入问题
07-22
### 如何解决SQL注入问题:全面解析与防范策略 #### SQL注入概述 SQL注入是一种常见的安全漏洞,攻击者通过在应用程序的输入字段插入恶意SQL语句,利用这些语句来操控数据库,获取未授权的数据访问,修改或破坏...
SQL注入原理与解决方法代码示例
09-09
总之,SQL注入是Web应用程序安全的一个重要问题,开发者需要对用户输入进行严格控制,并采用预编译语句等安全措施来防止此类攻击。同时,定期进行安全审计和更新安全策略也是保持系统安全的关键。
sqljdbc4,SQLserver架包
07-26
4. **预编译SQL语句**:预编译语句(PreparedStatement)能防止SQL注入攻击,并且在多次执行相同SQL时有更优的性能,因为服务器端只需解析一次SQL模板。 5. **事务管理**:sqljdbc4支持JDBC的事务控制,可以进行...
jdbcsql注入问题
倔强100%的博客
03-21 119
jdbc连接数据库 创建的db.properties工具类获取配置信息 driver=com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false user=root password=123456 创建u...
[3]JDBCSQL注入问题
李绪颖_IT培训讲师
04-12 88
JDBCSQL注入问题 使用预处理( PreparedStatement )解决SQL注入问题: import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Stat...
JDBC关于Statement的Sql注入问题
发光吖的博客
09-11 1075
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
JDBC操作数据库08(sql注入问题
fanfjaiyun的博客
02-15 129
sql注入SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库的记录。 sql注入步骤: 寻找注入点,构造特殊的语句 ...
JDBC碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 280
Sql注入问题 学习JDBC过程学到了一个Sql的安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
JDBC sql注入问题解决
weixin_49512993的博客
07-30 252
文章目录**JDBC sql注入问题解决**一、sql注入问题1、sql注入的影响:2、jdbcsql注入的例子:二、PreparedStatement对象1、PreparedStatement对象与Statement对象的区别: JDBC sql注入问题解决 一、sql注入问题SQL作为字符串通过API传入给数据库,数据库将查询的结果返回,数据库自身是无法分辨传入的SQL是合法的还是不合法的,它完全信任传入的数据,如果传入的SQL语句被恶意用户控制或者篡改,将导致数据库以当调用者的身份
jdbc之防止sql注入问题
m_target的博客
07-28 687
java.sql 接口 PreparedStatement    表示预编译的 SQL 语句的对象 是Statement的子类     特点:             性能高、会把sql语句预先编译、sql语句的参数会发生变化,过滤掉用户输入的关键字 public class LoginDemo { public static void main(String[] args) {...
JDBCSQL注入问题小结
xmy1208945213的博客
09-03 144
SQL注入问题 ​在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题 1.例如: 输入的用户名随意,输入的密码:a’ or ‘a’ = ‘a 定义sql的代码如下: // 定义sql String sql = "select * from user where username = '" + username + "' and password = '" + password + "'"; ​ 如果根据所给例子输入随意的用户名和密码a’ or ‘a’ = ‘a,则最终执行的sq
JDBCSQL注入漏洞分析和解决
qq_40208605的博客
03-11 367
1.1.1SQL注入漏洞分析 1.1.2SQL注入漏洞解决 需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 [AppleScript]纯文本查看复制代码 ? 01 02 03 04 ...
Java数据库连接(JDBC)详解与SQL注入防范
SQL注入是一种常见的安全漏洞,攻击者通过在输入字段插入恶意SQL代码,使数据库执行非预期的查询。例如,如果用户名不进行验证,攻击者可以输入`admin' OR '1'='1`,这样可能会导致所有用户的记录被检索出来。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值