Java:SQL注入,Properties,PreparedStatement封装

最新推荐文章于 2023-12-09 23:03:16 发布
最新推荐文章于 2023-12-09 23:03:16 发布
阅读量371 收藏
点赞数 1
分类专栏: Java Web 文章标签: 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44668555/article/details/107331837
版权

SQL注入

通过SQL代码的漏洞,进行攻击系统
例:在查询条件中输入‘’‘or 1 or’” 那么查询条件会显示的结果
[id=002, username=wangwu, salary=7898.0, age=23, depart=manage]

如何解决:数据厂商的问题
解决方案:

  1. 对Java语言中传递的字符串做预处理
  2. PrepareStatement:先由PrepareStatement 和数据库连接,对字符串进行预处理,处理结束后再去执行SQL

PrepareStatement的使用:

public static void main(String[] args){
	Connection conn = null;
	PreparedStatement ps = null;
	ResultSet rs = null;
	try{
		//此处JDBCUtil是自己封装过的
		conn = JDBCUtil.getConnection();
		//定义SQL查询语句
		String sql = "select * from tb1 where username=?";
		//Statement无法处理,使用prepareStatement
		ps = conn.prepareStatement(sql);
		//此处1代表指向前面第几个问号,后面对应其值
		ps.setString(1,"'or 1 or'");
		rs = ps.executeQuery();
		while(rs.next()){
			System.out.println(rs.getString("username")+"\t"+rs.getInt("age")+"\t"+rs.getFloat("salary"));
		}
	}catch (SQLException e){
		e.printStackTrace();
	}
}
Statement与PreparedStatement的区别
  1. Preparedstatement是预处理过的,对于批量处理可以大大提高效率
  2. 数据库只进行一次处理时,用Statement对象进行处理,Preparedstatement开销比Statement大,对于一次性操作无好处
  3. Statement每次执行SQL语句时,相关数据库都要执行SQL的编译,PrepareStatement是预编译的,支持批处理
  4. Preparedstatement对象可以防止SQL注入更加安全。

Properties

在Java.util包中,它表示的是Java语言的配置文件,是Java语言独有的配置文件。 配置文件有很多中:
XML 文件 — 配置文件 Properties 的父类是HashTable
Properties 配置文件 — 一类问价 读取文件肯定是要用流的技术,使用流读取文件时把文件的内容读取到流中。

HashTable与HashMap的区别:
1.线程安全:HashTable是线程安全的,而HashMap线程不安全
2.null值:HashMap的key可以为null,而HashTablekey不可以为空
3.继承父类:HashTable继承的是Dictionary,而HashMap继承AbstractMap,但均实现Map接口
4.初始容量:HashTable初始容量为11,HashMap为16,两者默认填充因子均为0.75
5.判断键值是否存在:HashMap用ContainsKey(),而HashTable用get()方法。

Properties里存放键值对

driverCLassname=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/test
user=root
password=123456

static{
	try{
	Properties p = new Properties();
	InputStream in = JDBCUtil.class.getClassLoader().getResourceAsStream("db.properities");
	p.load(in);
	driver = p.getProperty("driverCLassname");
	url = p.getProperty("url");
	user = p.getProperty("user");
	password = p.getProperty("password");
	Class.forName(driver);
	}catch (ClassNotFoundException e){
		e.printStackTrace();
	}catch (IOException e){
		e.printStackTrace();
	}
}

   static {
        try {
            Properties p = new Properties();
            InputStream in = JDBCUtil.class.getClassLoader().getResourceAsStream("db.properities");
            p.load(in);
            driver = p.getProperty("driverCLassname");
            url = p.getProperty("url");
            user = p.getProperty("user");
            password = p.getProperty("password");

            Class.forName(driver);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

PreparedStatement 封装方法

更新

public void Update(String sql,String...args){
	try{
		conn = getConnection();
		ps = conn.prepareStatement(sql);
		for(int i = 0; i<args.length(); i++){
			ps.setObject(i+1,args[i]);
		}
		int bRet = ps.exectuteUpdate();
	}catch (SQLException e){
		e.printStackTrace();
	}
}

多条语句查询

	public <T> T query(Class<T> clazz,String sql,Object...args){
		
		T entity = null;
		PreparedStatement ps = null;
		try {
			conn = JDBCUtils.getConnection();
			ps = conn.prepareStatement(sql);
			
			for (int i = 0; i < args.length; i++) {
				ps.setObject(i + 1, args[i]);
			}
			rs = ps.executeQuery();
			//2. 得到 ResultSetMetaData 对象
			ResultSetMetaData rsmd = rs.getMetaData();
			//3. 创建一个 Map<String, Object>   列的名称 key 列的值作为value
			Map<String, Object> values = new HashMap<>();
			
			//4. 处理结果集. 利用 ResultSetMetaData 填充 对应的 Map 对象
			if(rs.next()){
				for(int i = 0; i < rsmd.getColumnCount(); i++){
					//列的名称
					String columnLabel = rsmd.getColumnLabel(i + 1);
					//列多对应的value
					Object columnValue = rs.getObject(i + 1);
					
					values.put(columnLabel, columnValue);
				}
			}
			
			//5. 若 Map 不为空集, 利用反射创建 clazz 对应的对象
			if(values.size() > 0){
				entity = clazz.newInstance();
				//5. 遍历 Map 对象, 利用反射为 Class 对象的对应的属性赋值. 
				for(Map.Entry<String, Object> entry: values.entrySet()){
					String fieldName = entry.getKey();
					Object value = null;
					if (entry.getValue() instanceof Long) {
						value = Integer.parseInt(entry.getValue().toString());
					}else{
						value = entry.getValue();
					}
					ReflectionUtils.setFieldValue(entity, fieldName, value);
				}
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} catch (InstantiationException e) {
			e.printStackTrace();
		} catch (IllegalAccessException e) {
			e.printStackTrace();
		}
		return entity;
	}
Re__CODE
关注
专栏目录
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 799
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
SQL注入与PreparedStatement
PPDY93的博客
07-30 182
文章目录一.Sql注入二.Statement三.Preparestment四.statement 和 preparedStatement 优缺点 一.Sql注入 利用Statement写一个用户登录,执行的sql将会是: 用户输入用户名:admin 用户输入密码: 123456 后台程序执行 select * from users where uname = ‘admin’ and pwd = ‘123456’ 如果改为如下输入信息 用户输入用户名:’ or 1=1 or ’ 用户输入密码: 12
Java之JDBC连接MySQL数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题 使用预编译对象PreparedStatement)
09-26
Java之JDBC连接数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题 使用预编译对象PreparedStatement) 配置文件 db.properties(保存数据库账号和密码等) 工具类 JDBCUtil.java(抽取公共部分,解决硬编码问题) 用户账号实体类 User.java(私有化数据库t_user表中的id,username,password) 接口类 IUserDao.java(制定增删改查业务) 实现类 UserDaoImpl.java(实现增删改查功能 使用预编译对象PreparedStatement 安全、便捷不需要我们去拼接字符串,特别是字段很多的时候 同时效率比Statement更高 ) 测试类 UserDaoTest.java(做测试增删改查功能使用)
java(JDBC连接数据库)[对PreparedStatement进行封装]
web开发自学
08-15 188
package com.iflytec.ex01; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.ResultSetMetaData; import java.sql.S...
PreparedStatement封装
Qwe200000的博客
07-14 340
import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class psJar{ private static String driver = "com.mysql.jdbc.Driver"; private static String url
封装JDBC,简单快捷的使用PreparedStatement对象
shaokun305的专栏
08-01 2742
在使用jdbc操作数据库中,最常用的操作便是对数据库实现增,删,改,查四种基本的操作,在一般的java操作模式下,常用的是使用一个数据对象(就是和数据库中表列对应的数据结构,只用set和get方法),但是,在写的过程中,使用PreparedStatement时,就会出现,对象的参数之间的对应耦合太强还要写太多的set参数方法,很繁琐。,所以我就为此写了一个封装类,其实很简单,就是使用一个对象数组保
JDBC-PreparedStatement以及对代码的封装
qq_52998673的博客
09-12 709
JDBC-PreparedStatement以及对代码的封装
java回顾:JDBC、工具类、事务、SQL注入
m0_56678122的博客
10-11 455
JDBC、工具类、事务、SQL注入
Java数据库工具封装
12-21
该方法接受SQL语句和参数列表,可以通过预编译的`PreparedStatement`执行SQL,提高安全性并减少SQL注入风险。 - **通用查询方法**:为满足select操作,`BaseDao`类通常会有一个返回结果集的方法。该方法可能使用`...
web 项目中报错解决,java.io.FileNotFoundException: druid.properties (系统找不到指定的文件);【spring工厂解耦开发】
Syntacticsugar's blog
09-30 7663
使用 Tomcat9.0 ,   spring5.0框架原始工厂类解耦,druid-1.0.9jar版本,JDK9,MSQL8版本数据库  模拟web页面登录案例时候出现druid.properties文件找不到的报错信息,详情如下【案例代码贴最后】;     按照正常来讲,配置文件放在src 目录下面,然后copy相对路径就行,可阿里就是反人类;    运行报错,web浏览器空指针,I...
封装好的PreparedStatement DB连接
12-26
找到的比较全面的封装好的DBUtil,新手可以参考使用,防止SQL注入
log4j.properties(可用于在控制台中输出sql语句)
04-28
这是一个可以在控制台中输出sql语句的log4j的properties文件
JDBC学习总结(一)获取数据库连接/Connection/SQL注入/PreparedStatement实现增删改查/ResultSet/ResultSetMetaData/ORM思想
ZaynFox的博客
05-15 853
一、JDBC概述 (一)数据的持久化 持久化(persistence):把数据保存到可掉电式存储设备中以供之后使用。大多数情况下,特别是企业级应用,数据持久化意味着将内存中的数据保存到硬盘上加以”固化”,而持久化的实现过程大多通过各种关系数据库来完成。 持久化的主要应用是将内存中的数据存储在关系型数据库中,当然也可以存储在磁盘文件、XML数据文件中。 (二)Java中的数据存储技术 在Java中,数据库存取技术可分为如下几类: JDBC直接访问数据库 JDO (Java Data
Java的JDBC连接池底层封装
最新发布
weixin_55415300的博客
12-09 1563
目录一、JDBC回顾1.1 六个基本步骤1.2 问题的引出二、ORM框架三、JDBC连接池性能优化3.1 JDBC连接池在创建连接时优化3.2 将连接(桥梁)和状态进行绑定1、MyConnection3.3 设计连接池用于装连接1、ConnectionPool四、JDBC连接池性能的测试五、将JDBC整体优化5.1 问题的产生5.2 问题解决方案1、单例的连接池对象2、添加配置文件3、多个人同时访问4、防止多余的线程出现null5、代理模式(1)静态代理模式(2)缺省适配器模式5.3 完整的JDBC封装代码
jdbc中通用的增删查改操作
weixin_45929885的博客
04-09 142
jdbc中通用的增删查改操作 链接数据库,关闭 /** * * @Description 操作数据库的工具类 * @author shkstart Email:shkstart@126.com * @version * @date 上午9:10:02 * */ public class JDBCUtils { /** * * @Description 获取数据库的连接 * @author shkstart * @date 上午9:11:23 * @retu
封装一个 员工类 使用preparedStatement 查询数据 (2) 使用 arrayList 集合
weixin_30413739的博客
04-02 179
创建 员工=类生成 有参构造 get set 方法 toString 方法 package cn.hph; public class emp1 { //创建员工类的属性 private int id; private String ename; private int Job_id; private int mgr...
【JDBC】封装实现及 PreparedStatement防止sql注入问题的应用
weixin_46013570的博客
08-21 255
PreperedStatementStatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法获得。PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。:执行的时候参数会用引号包起来,并把参数中的引号作为转义字符,从而避免了参数也作为条件的一部分。PreparedStatement可对SQL进行预编译,从而提高数据库执行效率。通过巧妙的技巧来拼接字符串,造成SQL短路,从而获取数据库数据。
java中jdbc的封装笔记_JDBC封装学习笔记(三)---面向对象的JDBC,使用preparedStatement...
weixin_39717152的博客
02-25 126
使用PreparedStatement对象:为什么要使用PreparedStatement原因:(1)使用Statement需要拼接SQL,太费劲,也容易出错。String sql = "insert into userinfo" + " values (" + player.getId() + ",'" + player.getPlayerID() + "','"+ player.getName...
mysql的properties,sql-mysql.properties
weixin_39867125的博客
03-18 221
#系统任务日志视图AD_TASK_LOG_VIEW=select t1.logID,t1.startTime,t1.endTime,t1.result,t1.message,t2.*from AD_TASK_LOG t1left join AD_TASK t2 on t1.taskID=t2.taskID#用户视图SYS_USER_VIEW=select t1.userID,t1.userName...
Java使用jdbc.properties配置连接SQL数据库
"该资源是关于使用jdbc.properties配置文件来建立与SQL数据库的连接,并通过Java的静态方法getConnection()实现数据库操作的代码示例。主要涉及的标签有jdbc和sql,内容涵盖了PreparedStatementStatement的使用,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值