sql防注入

最新推荐文章于 2024-07-26 09:40:31 发布
最新推荐文章于 2024-07-26 09:40:31 发布
阅读量113 收藏
点赞数
文章标签: 数据库 mysql jdbc sql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42752720/article/details/108289577
版权

statement和prepareedStatement两者之间的问题

  • statement:利用statement进行sql数据传输时,往往会造成sql注入问题,但是使用prepareedStatement可以防止sql注入问题,并且prepareedStatement继承statement接口。

  • prepareedStatement:

    1.防止sql注入问题。

    2.对于频繁变化的sql语句,Statement要进行频繁的编译,有可能造成缓冲区溢出。

    3.输入参数的值在 SQL 语句创建时未被指定。并且该语句为每个 输入 参数保留一个问号(“?”)作为占位符。每个问号的值必须在该语句执行之前,通过适当的setXXX 方法来提供。

    4.数据库和驱动可以对PreparedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。所以PreparedStatement的执行效率要比Statement的高

    日期类型的操作

  • 数据库中用的是DateTime或其他日期类型,实体类中,对应的是java.util.Date 类型

  • 在Statement 中,用的是 java.sql.Date 把实体类中的日期类型,传给 Statement 的时候,要把  util.Date  转成  sql.Datestm.setDate(4,  new java.sql.Date(stu.getBirthday().getTime()));

  • java.sql.Time  包含时间,又不包含日期在存的时候这么写: 型stm.setTime(4, new java.sql.Time(stu.getBirthday().getTime()));在取的时候这么写:user.setBirthday(rs.getTime("birthday"));

  • 即想要时间,又要日期 可以使用java.sql.Timestamp 类在存的时候这么写:stm.setTimestamp(4, new java.sql.Timestamp(stu.getBirthday().getTime()));在取的时候这么写:stu.setBirthday(rs.getTimestamp("birthday"));

  • 上例子:首先来个工具类:

package Practise;


import static org.hamcrest.CoreMatchers.nullValue;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;


/**
 * jdbc工具类:
 * @author 曹
 *
 */
public class JdbcUtil {
  //驱动类名称
  private static String driver="java.sql.DriverManager";
  //数据库的路径jdbc:mysql://137.0.0.1:3306/数据库名称
  private static String url="jdbc:mysql://127.0.0.1:3306/blog";
  //数据库用户名
  private static String userName="root";
  //数据库密码
  private static String password="root";
  /**
   * 类加载时加载驱动,高版本可以省略
   */
  static {
    try {
      Class.forName(driver);
    } catch (ClassNotFoundException e) {
      e.printStackTrace();
    }
  }
  /**
   * 创建连接并且获取连接
   * @return:返回一个数据库连接对象
   */
  public static Connection conn() {
    Connection conn=null;
    try {
      conn=DriverManager.getConnection(url, userName, password);
    } catch (SQLException e) {
      e.printStackTrace();
    }
    return conn;
  }
  /**
   * 数据库关闭
   * @param conn:连接对象
   * @param st:传输数据集
   * @param rs:返回结果集
   */
  public static void close(Connection conn,Statement st,ResultSet rs) {
    if(conn!=null) {
      try {
        conn.close();
      } catch (SQLException e) {
        e.printStackTrace();
      }
    }else {
      conn=null;
    }
    if(st!=null) {
      try {
        st.close();
      } catch (SQLException e) {
        e.printStackTrace();
      }
    }else {
      st=null;
    }
    if(rs!=null) {
      try {
        rs.close();
      } catch (SQLException e) {
        e.printStackTrace();
      }
    }else {
      rs=null;
    }
  }
  /**
   * 数据库关闭
   * @param conn:连接对象
   * @param st:传输数据集
   */
  public static void close(Connection conn,Statement st) {
    if(conn!=null) {
      try {
        conn.close();
      } catch (SQLException e) {
        e.printStackTrace();
      }
    }else {
      conn=null;
    }
    if(st!=null) {
      try {
        st.close();
      } catch (SQLException e) {
        e.printStackTrace();
      }
    }else {
      st=null;
    }
  }
}

其次:一个简单的实体类:

package Practise;
import java.io.Serializable;
import java.util.Date;
/**
 * 这是一个Javabeen类
 * @author 曹
 *
 */
public class Student implements Serializable {
  private int sno;
  private String sname;
  private int age;
  private String sex;
  private String password;
  private String birthday;
  public Student() {
  }
  public Student(int sno, String sname, int age, String sex, String password, String birthday) {
    this.sno = sno;
    this.sname = sname;
    this.age = age;
    this.sex = sex;
    this.password = password;
    this.birthday = birthday;
  }
  public int getSno() {
    return sno;
  }
  public void setSno(int sno) {
    this.sno = sno;
  }
  public String getSname() {
    return sname;
  }
  public void setSname(String sname) {
    this.sname = sname;
  }
  public int getAge() {
    return age;
  }
  public void setAge(int age) {
    this.age = age;
  }
  public String getSex() {
    return sex;
  }
  public void setSex(String sex) {
    this.sex = sex;
  }
  public String getPassword() {
    return password;
  }
  public void setPassword(String password) {
    this.password = password;
  }
  public String getBirthday() {
    return birthday;
  }
  public void setBirthday(String birthday) {
    this.birthday = birthday;
  }
  @Override
  public String toString() {
    return "Student [sno=" + sno + ", sname=" + sname + ", age=" + age + ", sex=" + sex + ", password=" + password
        + ", birthday=" + birthday + "]";
  }
}

最后:查询所有:

package Practise;
import static org.hamcrest.CoreMatchers.nullValue;


import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;
import java.util.Scanner;
public class JdbcPractise {
  public static void main(String[] args) {
    
    List<Student> list =selectAll();
    if(list.size()>0) {
      for(int i=0;i<list.size();i++) {
        System.out.println(list.get(i));
      }
    }else {
      System.out.println("数据不存在");
    }
  }


/**
   * 查询所有:
   * @return:返回一个list集合
   */
  public static List<Student> selectAll(){
    List<Student> list = new ArrayList<Student>();
    Connection conn=JdbcUtil.conn();
    Statement st = null;
    ResultSet rs = null;
    Student stu=null;
    try {
      st=conn.createStatement();
      rs=st.executeQuery("select * from student");
      while(rs.next()) {
        stu=new Student();
        int sno = rs.getInt("sno");
        String sname = rs.getString("sname");
        String password = rs.getString("password");
        int age=rs.getInt("age");
        String sex = rs.getString("sex");
        String birth = rs.getString("birth");
        stu.setSno(sno);
        stu.setSname(sname);
        stu.setAge(age);
        stu.setSex(sex);
        stu.setPassword(password);
        stu.setBirthday(birth);
        list.add(stu);
      }
    } catch (SQLException e) {
      e.printStackTrace();
    }finally {
      JdbcUtil.close(conn, st, rs);
    }
    return list;
  }

插入:

package Practise;


import static org.hamcrest.CoreMatchers.nullValue;


import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;
import java.util.Scanner;


public class JdbcPractise {
  public static void main(String[] args) {


    Scanner scanner = new Scanner(System.in);
    System.out.println("请输入姓名:");
    String name = scanner.nextLine();
    System.out.println("请输入性别");
    String sex = scanner.nextLine();
    System.out.println("请输入密码:");
    String password = scanner.nextLine();
    System.out.println("请输入出生日期");
    String birth = scanner.nextLine();
    System.out.println("请输入学号");
    int sno = scanner.nextInt();
    System.out.println("请输入年龄:");
    int age = scanner.nextInt();
    Student stu = new Student();
    stu.setSno(sno);
    stu.setSname(name);
    stu.setAge(age);
    stu.setSex(sex);
    stu.setPassword(password);
    stu.setBirthday(birth);
    int result = add(stu);
    if (result > 0) {
      System.out.println("添加成功");
    } else {
      System.out.println("添加失败");
    }


  }


  /**
   * 插入:
   * 
   * @param stu
   * @return
   */
  public static int add(Student stu) {
    Connection conn = null;
    PreparedStatement st = null;
    int result = 0;
    try {
      conn = JdbcUtil.conn();
      // 防止sql注入
      st = conn.prepareStatement("insert into student(sno,sname,age,sex,password,birth) values(?,?,?,?,?,?)");
      st.setInt(1, stu.getSno());
      st.setString(2, stu.getSname());
      st.setInt(3, stu.getAge());
      st.setString(4, stu.getSex());
      st.setString(5, stu.getPassword());
      st.setString(6, stu.getBirthday());
      result = st.executeUpdate();
    } catch (SQLException e) {
      e.printStackTrace();
    } finally {
      JdbcUtil.close(conn, st);
    }
    return result;
  }
霸王开-Java小哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sql注入总结
sillentHill的博客
02-16 424
sql注入总结 如何预SQL注入? 1. 严格限制Web应用的数据库的操作权限,给此用户提供仅仅能满足其工作的最低权限, 从而最大限度的减少注入攻击对数据库的危害 2. 检查输入的数据是否具有所期望的数据格式,严格限制变量的类型,例如使用regexp 包进行一些匹配处理,或者使用strconv包对字符串转化成其它基本类型的数据进行判 断 3. 对进入数据库的特殊字符('”\尖括号&a...
JDBCsql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 768
JDBCsql注入问题与解决方法[PreparedStatement]登录页面必会基础
Hbase常用API
Dancer_AI的博客
12-01 820
package com.mcq; import static org.hamcrest.CoreMatchers.describedAs; import static org.hamcrest.CoreMatchers.nullValue; import java.io.IOException; import java.io.PushbackInputStream; import org.apache.hadoop.conf.Configuration; import org.apache.h.
Jdbc 入门
吴锡钒的博客
06-09 165
package it.cast.demo; import static org.hamcrest.CoreMatchers.nullValue; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import ja...
junit4集成和使用
enthan809882的博客
11-28 167
集成方式1 (下载jar包并添加到classpath中): junit.jar hamcrest-core.jar 集成方式2 — 用maven: <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>4.12...
关于hamcrest的问题解决
DebugTank 测试管理专栏
12-20 3730
之前项目中用到一个Hamcrest ,为了扩展junit的测试功能,使用了该包. http://hamcrest.org/JavaHamcrest/
简单了解Mybatis如何实现SQL注入
08-25
Mybatis实现SQL注入 Mybatis是当前流行的持久层框架之一,广泛应用于各种Java项目中。然而,在使用Mybatis时,开发者经常会遇到SQL注入问题,这是由于Mybatis使用了$和#两个不同的占位符来SQL注入。今天,...
php SQL注入代码集合
10-30
php下实现sql注入效果代码,asp的比较多,php的倒不多见,喜欢php的朋友可以参考下
SQL.rar_SQL注入
09-24
本压缩包“SQL.rar”提供的“SQL注入”系统,旨在帮助Web开发者范此类攻击。 核心文件“Neeao_SqlIn.Asp”是这个注入系统的实现部分。它可能包含了一系列的函数或过程,用于检测和过滤用户输入的SQL查询,...
SQL注入.rar
04-05
针对这一问题,我们需要深入理解SQL注入的概念、机制以及范策略。 SQL注入的原理是,当用户通过表单、URL参数等方式提交数据到服务器时,这些数据未经处理直接拼接到SQL查询语句中。例如,一个简单的登录系统...
易语言SQL注入
07-18
"易语言SQL注入"针对的就是这一问题,旨在保护数据库免受恶意输入的影响。易语言,作为一款国内广泛使用的编程语言,提供了丰富的功能来帮助开发者构建安全的应用程序。下面,我们将深入探讨SQL注入的原理、危害...
Hamcrest使用
热门推荐
fanxiaobin
10-20 2万+
此博文是翻译自官方文档,仅供参考
matchers依赖_Hamcrest Matchers的高级创建
最佳 Java 编程
06-18 343
matchers依赖 介绍 上一次 ,我讨论了Hamcrest Matcher是什么,如何使用以及如何制作。 在本文中,我将解释创建Hamcrest Matchers的更多高级步骤。 首先,我将分享如何使您的匹配器更易于类型安全,然后介绍无状态匹配器的一些技术,最后是如何减少测试类的大量静态导入。 我还将给出一些有关命名静态工厂方法的快速提示。 类型安全匹配器 您可能已经在上次开发的mat...
Hamcrest –如何断言检查空值?
一名可爱的技术搬运工
05-28 574
尝试使用Hamcrest assertThat断言检查空值,但不知道如何做? @Test public void testApp() { //ambiguous method call? assertThat(null, is(null)); } 1.解决方案 1.1要检查空值,请尝试is(nullValue) ,请记住静态导入or...
static org.hamcrest.CoreMatchers.equalTo报红
qq_37919082的博客
02-23 451
static org.hamcrest.CoreMatchers.equalTo报红
Junit4X系列--hamcrest的使用
weixin_34125592的博客
02-06 255
OK,在前面的一系列博客里面,我整理过了Assert类下面常用的断言方法,比如assertEquals等等,但是org.junit.Assert类下还有一个方法也用来断言,而且更加强大。这就是我们这里要这里的: Assert的AssertThat()方法和Hamcrest匹配器 1,断言抛出的异常 明显的,有的时候我们想测试我们的代码在某种情况下抛出异常。比如说对于无效输...
导包:org.hamcrest.Matchers.equalTo报错解决方法
CSDN818的博客
03-21 2659
今天在学习SpringBoot写测试的时候,看网上案例导包org.hamcrest.Matchers.equalTo,一模一样啊,但我就是报错,我猜想肯定是我版本问题,是不是新版本的equalTo方法被封装到另一个包里了,但是那么多包,是哪个呢?好烦,一个一个导入,看能不能点出来equalTo方法来,果然,我换成下列包:org.hamcrest.CoreMatchers.equalTo;不报错,执...
数据库查询与操作指南-以Nebula图数据库为例
最新发布
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 303
数据库查询与操作指南-以Nebula图数据库为例
nodejs实现sql注入
03-20
可以使用参数化查询来SQL 注入攻击。在 Node.js 中,可以使用 mysql 模块来实现参数化查询。以下是一个示例代码: ```javascript const mysql = require('mysql'); const connection = mysql.create...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值