JDBC学习----解决SQL注入问题

最新推荐文章于 2024-09-14 18:46:05 发布
最新推荐文章于 2024-09-14 18:46:05 发布
阅读量128 收藏
点赞数
分类专栏: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44818449/article/details/109688395
版权

java jdbc mysql 
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
import java.sql.DriverManager;

/**
 * @author zzw
 * @create 2020/11/14-10:33
 * 1、解决SQL注入问题
 *      只要用户提供的信息不参与SQL语句的编译过程,问题就解决了
 *      即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译就不起作用
 *      要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PrearedStatement
 *      PrearedStatement接口继承了java.sql.Statement(数据库操作类)
 *      PrearedStatement是输入预编译的数据库操作对象
 *      PrearedStatement的原理是:预先对SQL语句的框架进行变扭,然后再给SQL语句传值。
 * 2、测试结果:
 *      用户名:
 *      user
 *      密码:
 *       user' or '1'='1
 *       登录失败
 *3、对比Statement和PrearedStatement
 *      Statement存在SQL注入问题,PrearedStatement解决了这个问题
 *      Statement是编译一次执行一次,PrearedStatement是编译一次可执行多次,PrearedStatement效率更高一些
 *      PrearedStatement会在编译阶段做类型的安全检查
 *      综上所述PrearedStatement使用情况较多,一般只要业务要求要执行SQL语句注入(拼接)的时候才使用Statement
 */
public class jdbcTest07 {
    public static void main(String[] args) {
        //initUI()初始化一个界面方法,函数的返回值是一个map集合
        Map<String,String> userLogininfo=initUI();
        //验证用户名和密码 函数的返回值是一个boolean类型
        boolean loginSuccess=login(userLogininfo);
        //最后输出结果
        System.out.println(loginSuccess?"登录成功":"登录失败");


    }

    /**
     * 用户登录
     * @param userLogininfo 用户登录信息
     * @return false表示失败,true表示成功
     */
    private static boolean login(Map<String, String> userLogininfo) {
        //打标机的意识
        boolean loginSuccess=false;
        //单独定义变量,在sql那里就可以直接用这个了,登录名
        String userName=userLogininfo.get("loginName");
        //登录密码
        String userPwd=userLogininfo.get("loginPwd");

        //jdbc代码
        Connection conn=null;
        PreparedStatement ps =null; //这里使用PrearedStatement(预编译的数据库操作对象)
        ResultSet rs=null;
        //1、注册驱动
        try {
            Driver driver=new com.mysql.jdbc.Driver();
            DriverManager.registerDriver(driver);
            //2、获取连接
            conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbc","root","a");
            //3、获取预编译的数据库操作对象,改变conn调用的方法并且把sql语句写道前面来并修改sql语句内容
            //SQL语句的框子,其中一个?表示一个占位符,一个?将来接受一个值,注意:占位符不能使用单括号括起来。
            String sql="select * from login where loginName=? and loginPwd=?";
            //程序执行到此处,会把SQL语句框子发送给DBMS,DBMS进行SQL语句的预先编译
            ps= conn.prepareStatement(sql);
            //给占位符?传值(第一个?下标是1,第二个?下标是2,jdbc中所以下标从1开始)
            ps.setString(1,userName);   //setString方法传过来后会在?那加上两个单引号和userName的值,如果是setInt传数字就不会变,它是很智能的
            ps.setString(2,userPwd);   //此时传进来的值已经不会在编译了,上面已经编译过了,所以随便你怎么传值
            //4、执行sql
            //rs= ps.executeQuery(sql);
            //这里不能在写SQL了,上面已经给了ps,ps是有SQL语句的,这里如果又传就又编译了
            rs= ps.executeQuery();
            //5、处理查询结果集
            //查询到多条用循环,一条用if就好了,在用户名密码错误的情况下肯定为0条,如果对也只有一条,所以我们只要用if就好了
            if(rs.next()){
                //结果集有数据则说明登录成功
                loginSuccess=true;
            }
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            //6、释放资源
            if(rs!=null){
                try {
                    rs.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if(ps!=null){
                try {
                    ps.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if(conn!=null){
                try {
                    conn.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }


        return loginSuccess;
    }

    /**
     * 初始化界面
     * @return 返回用户输入的用户名和密码等登录信息
     */
    private static Map<String, String> initUI() {
        Scanner s=new Scanner(System.in);

        System.out.println("用户名:");
        String loginName=s.nextLine();

        System.out.println("密码:");
        String loginPwd=s.nextLine();

        //用户名和密码有了,我们就该把数据组装到一个map集合了
        Map<String,String> userLoginInfo=new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);

        //最后把这个map集合返回
        return userLoginInfo;
    }

}
绝代风华.
关注
专栏目录
【spring】jdbcTemplatesql参数注入
weixin_30741653的博客
12-11 667
demo @Repository("jdbcDao") public class JdbcTemplateDao { @Autowired private JdbcTemplate jdbcTemplate; @Autowired private NamedParameterJdbcTemplate namedTemplate; private ...
jdbc sql 参数sql注入_如何sql注入?介绍5种sql注入的方法
weixin_36038435的博客
02-03 1052
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
Spring Boot实战:SQL注入攻击的综合策略与实例
kiingking的博客
07-13 341
在Spring Boot中SQL注入攻击涉及到几个关键步骤,主要是通过使用参数化查询、预编译语句、ORM框架以及输入验证和清理机制。
spring mysql注入攻击,Spring JDBC是否提供免受SQL注入攻击的保护?
weixin_39885690的博客
02-04 157
Spring's JdbcTemplate abstraction provides a lot of functionality, but can it be used in such a way that provides protection from SQL injection attacks?For example, like the kind of protection you wou...
JdbcTemplatesql注入攻击的源码解析
阿呆的专栏
09-04 1万+
概述 使用spring中org.springframework.jdbc.core.JdbcTemplate进行sql上查询时,如果采用拼接sql的方式,是会发生sql注入攻击的。 会发生sql注入的查询 query(String sql, RowMapper<T> rowMapper) 源码解析 @Override public <T> List<T> q...
解决JDBC编程过程中的SQL注入问题
qq_42449963的博客
12-21 176
首先看一段代码: 模拟用户登录: public class UserLogin { public static void main(String[] args) { Map<String,String> map = initUI(); boolean flag = check(map.get("username"),map.get("passwo...
sqljdbc4-4.0.jar包.zip
04-27
4. **预编译的SQL语句**:使用PreparedStatementSQL注入攻击,并提高性能。 总的来说,sqljdbc4-4.0.jar为Java开发者提供了一个强大且方便的工具,帮助他们高效、安全地与SQL Server数据库进行通信。了解并熟练...
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
sqljdbc4-4.0.jar
01-26
- 使用预编译的PreparedStatement,可以SQL注入攻击,并提高执行效率。 - 使用连接池管理数据库连接,减少频繁创建和关闭连接的开销。 - 设置合适的超时和重试策略,应对网络波动和数据库异常。 - 使用事务管理...
JAVA连接sqlserver2008R2驱动sqljdbc4-3.0.jar
12-24
8. **安全性**:使用预编译的PreparedStatement可以SQL注入攻击,同时,JDBC驱动还支持SSL加密以保护数据传输的安全。 9. **异常处理**:在编写Java数据库应用时,必须捕获并适当地处理`SQLException`,以确保...
sqljdbc4.0-4.2.zip
03-04
同时,推荐使用预编译的`PreparedStatement`来SQL注入攻击。 10. 兼容性:SQLJDBC驱动适用于各种Java应用,包括Java Web应用,例如在Tomcat、Jetty等应用服务器上运行的Servlet和JSP应用。 总的来说,SQLJDBC ...
JDBC学习SQL注入
一点莹的博客
02-04 213
1.数据库驱动: 这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。 应用程序----->Mysql驱动-------->Mysql数据库 2.JDBC的介绍: SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范由Java语言编写(
JdbcTemplate注入的几种方式
热门推荐
夜晓星的博客
01-18 1万+
使用数组 public void deleteItemByName(String name) { Object[] obj = new Object[] { name}; String sql = "DELETE FROM t_item WHERE name = ? "; jdbcTemplate.update(sq...
JDBC 入门小结之sql注入
sinat_36700834的博客
11-20 2877
JDBCJava对数据库进行操作的一个桥梁. 借助数据库提供的数据驱动, 加上要操作的数据库语言, 执行数据库语句之后就可以对数据库里面的记录进行增 删 改 查(crud)操作了.
Java数据库编程(八)_4.PrearedStatement接口
ninety_two的博客
01-27 286
具体内容:   虽然JDBC有提供Statement接口,但是Statement存在巨大的缺陷. 范例:以数据增加操作为例观察一下Statement的问题 package conll; import java.sql.Connection; import java.sql.Date; import java.sql.DriverManager; import java.sql.Resul...
Statement还是PrearedStatement
qq_30629571的博客
04-01 733
在开发中要使用PrearedStatement 在开发中很少使用Statement对象进行操作的,因为Statement执行的是一个完整的SQL语句,这样在程序中往往要使用拼凑的SQL语句完成。而且此时如果由用户输入往往会因为输出非法字符造成程序错误,所以开发中不建议使用Statement完成,而由PrearedStatement完成操作
Java-网络
最新发布
2301_81543552的博客
09-14 775
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
K-DB 11 JDBC 开发指南
10. **安全性和最佳实践**:涵盖安全方面的建议,如避免SQL注入,以及使用预编译语句、参数化查询等最佳实践。 请注意,由于具体文档内容未完全给出,以上内容是基于一般JDBC开发指南的常规结构和内容推测的。实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值