JDBC PrepareStatement 解决用户使用sql语句注入攻击数据库

最新推荐文章于 2021-06-02 23:15:45 发布
最新推荐文章于 2021-06-02 23:15:45 发布
阅读量367 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45112637/article/details/91538492
版权

解决用户使用sql语句注入攻击数据库

用statement 接口的子类
java.sql.PrepareStatement Extends Statement 接口 表示预编译的SQL语句

如何使用PrepareStatement对象
1. 获取conn.PrepareStatement (String sql)
sql语句可以使用占位符 ?
2. 设置占位符的实际数据
3. 执行sql语句



import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

public class jdbc03pre {
    /*
    解决用户使用sql语句注入攻击数据库
    用statement 接口的子类
    java.sql.PrepareStatement Extends Statement 接口 表示预编译的SQL语句

     如何使用PrepareStatement对象
     1. 获取conn.PrepareStatement (String sql)
        sql语句可以使用占位符 ?
     2.  设置占位符的实际数据
     3. 执行sql语句
     */
    public static void main(String[] args) throws SQLException {
        //1 使用scanner获得用户名和用户密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名");
        String pname = sc.nextLine();
        System.out.println("请输入密码");
        String pasword = sc.nextLine();
        //2. 使用jdbc操作数据库
        //获取连接对象
        Connection conn = JdbcUntil.getConnection();
        //获得执行对象
        String sql="SELECT * FROM users WHERE pname=? AND pasword=?;";
        //3. 获取预编译执行对象  并传入sql语句
        PreparedStatement pst = conn.prepareStatement(sql);
        // 给占位符赋值 使用给定对象设置指定参数的值 setObject
        pst.setObject(1,pname);
        pst.setObject(2,pasword);

        //4.执行sql语句 获取结果
        //int executeUpdate()  insrt update delete
        // ResultSet excuteQuery; select
        ResultSet i = pst.executeQuery();
        //5. 处理结果
        if (i.next()){
            //有结果
            System.out.println("登录成功---》"+i.getString("pname")+i.getString("pasword"));
        }else {
            System.out.println("没有结果");
        }
        //释放资源
        JdbcUntil.close(i,pst,conn);
    }
}
陈福国
关注
preparestatment获取sql_利用JDBC的PrepareStatement打印真实SQL的方法详解
weixin_39716971的博客
12-19 969
前言本文主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍:我们知道,JDBC 的 PrepareStatement 优点多多,通常都是推荐使用 PrepareStatement 而不是其基类 Statment。PrepareStatement 支持 ? 占位符,可以将参数按照类型转自动换为真实的值。既然这一...
JDBC使用Statement操作数据库时产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 595
SQL注入问题简单介绍 1.JDBC使用Stement对数据库增删改查, 执行sql语句使用拼接字符串会导致SQL注入 2.JDBC使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。 建表语句(本人使用数据库是mysql数据库) create datebase basketball; use basketball; create table l
PreparedStatement数据库注入漏洞攻击
SunShanai的博客
06-03 2367
以前看过一些C#关于数据库的操作,记得其中用@来防止数据库注入漏洞攻击,现在由于实习需要,转向Java,学习Jdbc,正好在做数据库这一块,联想到Jdbc要怎么防止数据库注入漏洞攻击呢,于是百度Jdbc防止注入漏洞攻击,找到PreparedStatement类,在这里记一下,以便以后复习,也给入门级需要的朋友做一下参考,如有不对之处,还请指正。 首先看一下什么是sql注入漏洞,见下面的sql语句
Java专题 JDBC---SQL注入攻击以及解决,PrepareStatement + 案例
weixin_44131922的博客
08-22 245
注入攻击 通过在条件后面拼接一个 1=1 或者其他一定成立的条件,将所有数据查询出来 先看看效果 JDBC 注入 @Test public void test1() throws SQLException { Connection con=JdbcUtil.getConnection(); Statement sm=con.createStatement(); String username="'1' or 1=1"; String psw="'1' or 1=1"; Strin
prepareStatement防sql注入使用
qq_29284253的博客
11-13 287
package t; import java.sql.Connection; import java.sql.Driver; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.s...
利用PreparedStatement 结果注入问题
zzcchunter的专栏
05-30 1749
//Statement st = conn.createStatement(); //PreparedStatement ps = conn.prepareStatement(sql); 上面两句话的区别在于 PreparedStatement 在创建的时候需要传入 sql语句,而 Statement的时候才需要传入sql语句 (ResultSet rs = st.executeQuery();
JAVA-使用PrepareStatement避免SQL注入
dxm809的博客
12-27 419
package com.dxm; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; imp...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它提供了预编译的SQL语句功能,能够显著提高执行效率,尤其是在批量处理大量数据时。`PreparedStatement`也被称为JDBC存储过程,因为它允许开发者...
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
PrepareStatementJDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
适用SQL Server 2016版本的数据库加载驱动包jdbc
最新发布
03-19
PreparedStatement pstmt = conn.prepareStatement("INSERT INTO yourTable VALUES (?, ?)"); pstmt.setString(1, "value1"); pstmt.setInt(2, 123); pstmt.executeUpdate(); ``` 5. **关闭资源**:在完成所有...
JDBC3——SQL注入、及其解决方法——Statement与PreparedStatement对比——PreparedStatement的CRUD
m0_38057941的博客
10-17 293
1.用户登陆系统演示—Statement—SQL注入 1.1.需求: 模拟用户登陆功能的实现 用户名:zhangsan 密码:123 1.2.业务描述: 程序运行的时候,提供一个输入的入口,可以让用户输入用户名、密码 输入后,提交信息,java程序搜集到用户信息 JAVA程序连接数据库验证是否合法 合法:显示登陆成功 非法:显示登陆失败 1.3.本程序存在的问题—— 存在SQL语句注入现象 用户名:a 密码:b’ or ‘1’='1 会登录成功 1.4.导致
用java PreparedStatement就不用担心sql注入了吗?
weixin_33757911的博客
09-15 1218
     先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱!      言归正传,对java有了解的同学基本上都体验过JDBC,基本都了解PreparedStatement,PreparedStatement相比Statement基本解决了SQL注入问题,而且效率也有一定提升。      关于Pre...
使用PrepareStatement接口预编译SQL语句,防止SQL注入攻击
HollowKnight的博客
04-19 1357
package com.usc.demo; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; /* ...
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2983
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
JDBC使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
使用preparedStatement解决sql注入漏洞
WARGON的博客
07-17 1382
使用Statement来执行sql语句,如果语句中连接的有变量,那么可以对变量进行一些修改使绕过sql语句的判断条件。比如: public static boolean login(String username,String password) { Connection conn = null; Statement stmt = null; ResultSet rs = null...
preparestatment获取sql_JDBC-预防SQL注入-预处理对象PrepareStatement
weixin_39520880的博客
12-19 446
PreparedStatement接口介绍PreparedStatementStatement接口的子接口,继承于父接口中所有的方法.它是一个预编译的SQL语句对象预编译: 是指SQL语句被预编译,并存储在PreparedStatement对象中. 然后可以使用此对象多次市郊地执行该语句PreparedStatement特点因为有预先编译的功能, 提高SQL的执行效率可以有效的防止SQL注入的问...
如何防止接口被恶意攻击
douxingpeng1的博客
03-17 2833
1、对于异常用户 切面处理异常,把异常用户的ip插入到数据库,当用户的请求异常次数到达一定程度时,拉入很名单 每次请求去查询是否在黑名单中 2、对于一分钟请求次数,接口限制 每次请求判断上次是否在一分钟内,如果在一分钟内则+1次 如果超过一分钟则清0 如果一分钟请求超过一定次数,就会直接限制请求,24小时候定时解绑 ...
jdbc 使用preparestatement 模糊查询里的sql语句怎么写
06-01
您好,对于使用 `PrepareStatement` 进行模糊查询,可以使用 `LIKE` 关键字,并在查询参数中使用 `%` 通配符。 例如,假设您要查询名字中包含字母 `abc` 的用户,可以这样编写 SQL 语句: ``` SELECT * FROM users...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值