PreparedStatement防止SQL注入

最新推荐文章于 2024-04-24 18:07:45 发布
最新推荐文章于 2024-04-24 18:07:45 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 数据库 文章标签: mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42732184/article/details/124275554
版权

添加数据:

package com.hyc.study03;
import com.hyc.study02.utils.JDBCUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.util.Date;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestInsert {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            //3、获取数据库连接
            connection = JDBCUtils.getConnection();

            //使用?占位符替代参数
            String sql = "INSERT INTO `users`(`id`,`NAME`,`PASSWORD`,`email`,`birthday`) " +
                    "VALUES (?,?,?,?,?);";
            //4、获取执行sql的对象
            //预编译sql,先写sql,然后不执行
            preparedStatement = connection.prepareStatement(sql);
            //手动给参数赋值
            preparedStatement.setInt(1, 4);
            preparedStatement.setString(2, "hyc");
            preparedStatement.setString(3, "123456");
            preparedStatement.setString(4, "123456789@qq.com");
            //java.sql.Date 是数据库的Date ,只包含年月日信息 ,它是java.util.Date(包含年月日和时分秒信息)的子类
            preparedStatement.setDate(5, new java.sql.Date(new Date().getTime()));

            //5、执行sql语句
            //6、返回执行结果集
            int num = preparedStatement.executeUpdate();
            if (num > 0) {
                System.out.println("插入数据成功!");
            }

        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            //7、释放连接
            JDBCUtils.release(connection, preparedStatement, resultSet);
        }
    }
}

删除数据:

package com.hyc.study03;

import com.hyc.study02.utils.JDBCUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestDelete {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            //3、获取数据库连接
            connection = JDBCUtils.getConnection();

            //使用?占位符替代参数
            String sql = "DELETE FROM `users` WHERE id=?";
            //4、获取执行sql的对象
            //预编译
            preparedStatement = connection.prepareStatement(sql);
            //手动给参数赋值
            preparedStatement.setInt(1, 4);

            //5、执行sql语句
            //6、返回执行结果集
            int num = preparedStatement.executeUpdate();
            if (num > 0) {
                System.out.println("删除数据成功!");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            //7、释放连接
            JDBCUtils.release(connection, preparedStatement, resultSet);
        }
    }
}

修改数据:

package com.hyc.study03;
import com.hyc.study02.utils.JDBCUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestUpdate {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            //3、获取数据库连接
            connection = JDBCUtils.getConnection();

            //使用?占位符替代参数
            String sql = "UPDATE `users` SET `NAME`=?,`email`=? WHERE `id`=?";
            //4、获取执行sql的对象
            //预编译
            preparedStatement = connection.prepareStatement(sql);
            //手动给参数赋值
            preparedStatement.setString(1, "zhangsan");
            preparedStatement.setString(2, "zhangsan@sina.com");
            preparedStatement.setInt(3, 1);

            //5、执行sql语句
            //6、返回执行结果集
            int num = preparedStatement.executeUpdate();
            if (num > 0) {
                System.out.println("更新数据成功!");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            //7、释放连接
            JDBCUtils.release(connection, preparedStatement, resultSet);
        }
    }
}

查询数据:

package com.hyc.study03;
import com.hyc.study02.utils.JDBCUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;
        try {
            //3、获取数据库连接
            connection = JDBCUtils.getConnection();

            //使用?占位符替代参数
            String sql = "SELECT * FROM `users` WHERE id=?";
            //4、获取执行sql的对象
            //预编译
            preparedStatement = connection.prepareStatement(sql);
            //手动给参数赋值
            preparedStatement.setInt(1, 1);

            //5、执行sql语句
            //6、返回执行结果集
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                System.out.println(resultSet.getString("NAME"));
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            //7、释放连接
            JDBCUtils.release(connection, preparedStatement, resultSet);
        }
    }
}

PreparedStatement防止SQL注入:
PreparedStatement防止SQL注入的本质是将传递进来的参数当做字符(想当于给传进来的参数包装成一个新的字符串),如果其中存在转义字符,例如 ‘ 会被直接转义。这样能够避免字符串拼接成非法的sql语句,造成数据泄露。

package com.hyc.study03;
import com.hyc.study02.utils.JDBCUtils;
import java.sql.*;

public class PourIntoSql {
    public static void main(String[] args) {
        login("'' or '1=1", "123456");
    }

    public static void login(String username, String psw) {
        Connection connection = null;
        PreparedStatement preparedStatement = null;
        ResultSet resultSet = null;

        try {
            connection = JDBCUtils.getConnection();

            String sql = "SELECT * FROM `users` WHERE `NAME`=? AND `PASSWORD`=?";
            preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1, username);
            preparedStatement.setString(2, psw);

            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                System.out.println(resultSet.getString("NAME"));
                System.out.println("===========================================");
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally {
            JDBCUtils.release(connection, preparedStatement, resultSet);
        }
    }
}

结果:
在这里插入图片描述
在PreparedStatement的作用下,再尝试通过字符串拼接达到SQL注入的目的无法实现。

hanyc..
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5378
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
防止SQL注入 — PreparedStatement
Daria
05-20 189
Background: Statement不能防止SQL注入, PreparedStatement能够防止SQL注入 如何理解 prepared statements 使用预编译语句是预防SQL注入的最佳方式 使用预编译语句Statement和PreparedStatment sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1148
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 470
参数化查询是编写安全数据库代码的最佳实践之一。
如何防止SQL注入攻击?
最新发布
Xs_layla的博客
04-24 601
从使用预处理语句和参数化查询到验证和过滤用户输入,再到限制数据库用户权限和记录日志等,都是非常重要的环节。通过综合应用这些措施,我们可以大大降低SQL注入攻击的风险,保护应用程序和数据的安全。SQL注入攻击是一种常见的网络攻击方式,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而操纵原本的SQL查询语句,达到非法获取、篡改或删除数据的目的。对用户的输入进行严格的验证和过滤是防止SQL注入的重要步骤。这样,数据库引擎会将参数视为数据而不是SQL代码的一部分,从而避免了SQL注入的风险。
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 665
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2581
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
使用PrepareStatement防止SQL注入
Ant_in_IT的博客
03-11 351
* 模拟sql注入,使用preparedstatment防止sql注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
如何防止sql注入
12-14
使用PreparedStatement防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不会导致SQL语句的...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 668
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
通过PreparedStatement预防SQL注入
jakelihua
11-25 612
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9772
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
java-jdbc7:PreparedStatement防止sql注入
qq_60495979的博客
12-06 210
/* 1.登录sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 用户名随意输入:qwerasdc,密码输入a' or 'a' = 'a 此时的sql为:"select * from user where username = '"+username+"' and password = '"+password+"' " select * from user where username ='qwerasdc' and
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
sjs52406的博客
12-02 1683
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
prepared statement 防止sql注入
mingyangdai的专栏
10-27 1001
预编译有个类是PreparedStatement. 这个类的对象是通过参数?来传值的 例: String sql = "select * from table where id = ?"; Connection con = .....///这里得到是数据库的连接 PreparedStatement ps = con.prepareStatement(sql); ps.setInt(1,id);//
preparedstatement防止sql
03-16
PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免了SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值