JDBC学习之路(三)防止SQL注入,PreparedStatement探索

最新推荐文章于 2021-12-10 15:11:06 发布
最新推荐文章于 2021-12-10 15:11:06 发布
阅读量131 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43679366/article/details/87115532
版权
               

   现在登录注册或者其他很多地方遇到用户输入的内容可以直接拿到数据库内部去进行执行SQL语句,这个是一项很危险的运动,因为你不知道用户会输入什么,如果用户对SQL语句很熟悉,他就可以在输入的时候加上''两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,照成不可估量的损失,下面介绍防止此类事情发生的代码

   

package com.bird.jdbc;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;/** * @use1 preparedStatement可以做一些预处理工作,将特殊字符去除,保证查询安全 * @use2 比起Statement速度更快 * @use3 单次测试不好说,但是多次运行还是PreparedStatement运行块的 * @author bird * */public class SQLInsert {//使用PreStatement防止SQL注入攻击 public static void read(String num) throws Exception{    Connection conn = null;  PreparedStatement pt = null;  ResultSet rs = null;  try{   conn = JdbcUtil.getConnecttion();//建立连接      String sql = "select * from niao where password = ?";//问号代替num   pt = conn.prepareStatement(sql);//创建语句    pt.setString(1, num);      rs = pt.executeQuery();//执行语句      while(rs.next()){//得到数据    System.out.println(rs.getObject("username")+"\t"+rs.getObject("password")+"\t"+rs.getObject("keywords")+"\t"      +rs.getObject("userkeywords1")+"\t"+rs.getObject("time1")+"\t"+rs.getObject("userkeywords2")+"\t"      +rs.getObject("time2")+"\t");   }  }finally{   JdbcUtil.free(rs, pt, conn);  }     }  public static void main(String [] args) throws Exception{  read("123");
              //read("' or 2 or'");这句话包含了两个单引号,会让计算机认为是SQL关键字很危险 }}

1.PreparedStatement是继承自Statement, 可以说Statement能做的事情他都能做。

2.PreparedStatement可以对你输入的SQL语句进行预处理,删除那些特殊字符和危险

字符,非常有好处,给开发者帮助

3.PreparedStatement对SQL执行进行了优化,对于多次大量的SQL查询,效率要比Statement快的很多,建议能用它就用他

           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

这个角度有点胖
关注
JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5431
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
JDBC如何防止SQL注入
qf2019的博客
08-25 2247
JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JdbcTemplate的批量操作
夜晓星的博客
01-18 1459
批量新增 public void addMainTainConfig(List<MainTainConfig> list){        final List<MainTainConfig> tempBpplist = list;        String sql="insert into t_maintain_config(user_id, xxx_id,...
JDBC中使用PreparedStatement代替Statement,同时预防SQL注入
weixin_30533797的博客
03-13 219
  本篇讲诉为何在JDBC操作数据库的过程中,要使用PreparedStatement对象来代替Statement对象。   在前面的JDBC学习中,对于Statement对象,我们已经知道是封装SQL语句并发送给数据库执行的功能,但是实际开发中,这个功能我们更经常用的是Statement类的子类PreparedStatement类的对象来实现,而不是采用Statement对象。   Stat...
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 547
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
NamedParameterJdbcTemple与RowMapper实现
weixin_30613727的博客
08-09 158
NamedParameterJdbcTemplate和JdbcTemplate功能基本差不多。 1、配置 db.properties 1 jdbc.user=root 2 jdbc.password=123456 3 jdbc.driverClass=com.mysql.jdbc.Driver 4 jdbc.jdbcUrl=jdbc\:mysql\:/...
JDBC中使用preparedStatement防止SQL注入
qq_43842093的博客
08-29 1436
一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输入账号和密码。 我们的代码中会有如下SQL语句: String sql="select * from user where account='"+account+"' and password='"+password+"'"; 情形1:(免账号登录) 账号:' or 1=1-- (--
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2673
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
动态组装sql(解决where1=1低效的方案)
hailangamy的专栏
09-02 2347
以前动态查询的数据的时候,多个查询条件则需要动态拼接sql,因此许多开发人员就想到一个捷径:为sql指定一个永远为true的条件(比1=1)这样就不用考虑where语句是否存在的问题了。这看似优美的解决了问题,殊不知这样可能会造成非常大的性能损失,因为使用了“1=1”这样的过滤条件后数据库就无法使用索引等查询优化策略,数据库系统将会被迫对每行数据进行扫描以比较此行是否满足过滤条件,当表中的数据量非
Java下拼接执行动态SQL语句
一台数据分析的机器!
06-12 5036
       在实际业务中经常需要拼接动态SQL来完成复杂数据计算,网上各类技术论坛都有讨论,比如下面这些问题:         http://bbs.csdn.net/topics/390876591         http://bbs.csdn.net/topics/390981627         https://www.linkedin.com/groups/SQL-Query...
数据分析高级培训:客户体验分析-课件
11-10
课程目标: 本课程旨在让学员了解什么是客户体验,客户服务体验的重要性以及常见指标,掌握客户体验的分析方法,学会客户问题的识别以及针对问题制定有效的解决方案。 课程大纲: 客户体验的概述 客户体验的分析方法 客户问题解决的方法论
【微电网潮流】分布式电源微电网潮流【Matlab仿真 7357期】.zip
11-10
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
Unity3d-lesson_EVAC-CITY.zip
11-10
Unity3d实例工程,供学习参考
2023-04-06-项目笔记 - 第百一十阶段 - 4.4.2.311全局变量的作用域-311 -2025.11.10
最新发布
11-10
2023-04-06-项目笔记-第百一十阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.311局变量的作用域_311- 2024-11-10
【电机控制】基于matlab PID控制器BLDC电机控制【Matlab仿真 7412期】.zip
11-10
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
【误码率仿真】基于matlab阿拉姆提空间时间块编码STBC(含误码率)【Matlab仿真 7425期】.zip
11-10
CSDN Matlab武动乾坤上传的资料均有对应的代码,代码均可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
Java使用PreparedStatement与Filter防止SQL注入
"Java防止SQL注入的几种方法主要集中在避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据中嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值