SQL注入问题及预防方法

最新推荐文章于 2024-06-12 11:05:01 发布
最新推荐文章于 2024-06-12 11:05:01 发布
阅读量6.7w 收藏
点赞数 1
分类专栏: MySQL学习 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45783660/article/details/111825276
版权

SQL注入问题

sql存在漏洞,会被攻击导致数据泄露 SQL会被拼接 or

package com.kuang.lesson02;
import com.kuang.lesson02.utils.jdbcUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class SQL注入 {
    public static void main(String[] args) throws SQLException {
        //SQL注入
        login("sanjin","123456");
//        login("' or '1=1","123456");
    }
    public static void login(String name,String password) throws SQLException {
        Connection conn =null;
        Statement st = null;
        ResultSet rs =null;
        try {
            conn = jdbcUtils.getConnection();//获取连接
            st = conn.createStatement();//获取SQL执行对象
            String sql = "select * from users where `NAME`='"+ name +"'  AND `PASSWORD`='"+ password +"'" ;
            rs=st.executeQuery(sql);//查询完毕返回结果集
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
            }
            jdbcUtils.release(conn,st,rs);
        } catch (Exception e) {
            e.printStackTrace();
        }finally {

                jdbcUtils.release(conn,st,rs);

        }
    }
}

PreparedStatement对象

PreparedStatement 可以防止SQL注入 ,效率更高。

  1. 新增
  2. 删除
  3. 更新
  4. 查询

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g2bWtm8m-1609070543587)(C:\Users\王东梁\AppData\Roaming\Typora\typora-user-images\image-20201227170521886.png)]

package com.kuang.lesson03;
import com.kuang.lesson02.utils.jdbcUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class Test01 {
    public static void main(String[] args) throws SQLException {
        Connection connection= null;
        PreparedStatement pstm=null;
        try {
            connection = jdbcUtils.getConnection();
            //区别
            //使用问好占位符代替参数
            String sql = "insert into users(id,`NAME`) values(?,?)";
            
            pstm = connection.prepareStatement(sql);//预编译sql,先写sql然后不执行
            
            //手动赋值
            pstm.setInt(1,6);
            pstm.setString(2,"SANJIN");
            
            //执行
            int i = pstm.executeUpdate();
            if (i>0){
                System.out.println("插入成功");
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {

                jdbcUtils.release(connection,pstm,null);

        }
    }
}

防止SQL注入本质,传递字符 带有“ ”,转义字符会被转义

Frank---7
关注
专栏目录
sql注入实例分析
weixin_30624825的博客
07-23 3460
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
SQL注入原理及预防SQL注入方法
m0_58816585的博客
05-31 1410
网络安全成为了现在互联网的焦点,这也恰恰触动了每一位用户的神经,担心网上的信息以及个人隐私遭到泄露。下面要为大家介绍的是SQL注入,对于sql注入,相信程序员都知道或者使用过,如果没有了解或完全没有听过也没有关系,我们可以通过下面来一起学习下。 什么是sql注入sql注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(
SQL注入以及防止SQL注入方法
weixin_43206190的博客
02-27 4876
一、SQL注入简介 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 二、SQL注入攻击的思路 找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不同服务器和数据库的特点进行SQL注入攻击 三、SQL注入实例 一个要求输入用户名和密码的登陆界面 后台程序进行验证的SQL语句如下: select * from user_tab...
SQL注入预防措施
我的博客
09-20 817
在编写代码的时候,很多情况下没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数 据,这就是所谓的SQL Injection,即SQL注入。如: 某个网站的登录验证的SQL查询代码为: strSQL = "SELECT * FROM users WHERE (name = '" + userName + "')
关于sql注入问题以及如何避免
Dream Space
08-30 1583
一、什么是sql注入呢? 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储过程作
SQL注入预防
Dwyane0030的博客
05-23 594
SQL注入是一种注入攻击手段,通过执行恶意SQL语句,进而将任意SQL代码插入数据库查询,从而使攻击者完全控制Web应用程序后台的数据库服务器。的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,会有相应的方法对传入参数进行强制类性检查和安全检查,所以就避免了SQL注入的产生。以下代码中,查询字符串是通过字符串拼接生成的,用户输入的内容直接拼接到SQL查询字符串中,会导致 sql 注入。,从而防止SQL注入
SQL 注入及预防
IT__learning的博客
08-27 1475
1、什么是 sql 注入 SQL 注入(英语:SQL injection),是发生于应用程序与数据库层的安全漏洞。 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行 Sql 语句。 这种网站内部直接发送的 sql 请求一般不会有危险,但实际情况是很多时候需要结合用户的输入数据动态构造 Sql 语句,如果用户输入的参数被注入了 Sql 代码,Web 应用又对动态构造的 Sql 语句使用的用户输入参数进行审查,那么这些注入进去的恶意 sql 就会被数据库
SQL注入是什么?SQL注入的原理及预防方法
最新发布
JustinMars的博客
06-12 1006
SQL注入是由于对用户输入处理不当引发的严重安全漏洞,防止SQL注入需要综合使用参数化查询、准备语句、输入验证、转义等技术,同时遵循最小权限原则并进行定期安全测试和代码审计。通过这些措施可以有效防止SQL注入攻击,保护应用程序和数据的安全。
SQL注入攻击及其预防方法研究
07-05
针对SQL注入攻击的预防方法可以从程序编写和服务器设置两方面入手。在程序编写方面,开发者需要遵循以下最佳实践: 1. 使用参数化查询:这是预防SQL注入的最有效方式。通过使用参数化查询,可以保证传入的参数仅仅...
有效防止SQL注入的5种方法总结
09-09
参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
pymysql如何解决sql注入问题深入讲解
09-09
虽然不推荐在日常开发中大量使用存储过程,但在某些复杂场景下,存储过程可以作为预防SQL注入的一种手段。存储过程允许在数据库级别定义一组操作,然后通过参数调用执行。在MySQL中,可以创建一个存储过程来封装SQL...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。...攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。...
mybatis能否预防SQL注入
春风化雨
03-06 1450
1、概念:什么是sql注入 SQL注入:是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中。 它一种常见的攻击方式。攻击者在界面的表单信息或者URL上输入一些特殊的SQL片段(比如“OR1=1”),就有可能入侵参数检验不完善的应用程序。所以,应用开发中需做一些工作,来防备SQL注入。一些对安全性要求很高的应用中(如银行软件),通常使用将SQL语句全部替换为存储过程的方式,以防止SQL注入。是一种很安全的处理方式。 答案:mybatis是能够防止SQL注入的,请继续阅.
mysql卸载再安装作死级尝试(测试前记得备份数据库
热门推荐
Frank---7的博客
01-14 18万+
安装之前一定要将自己的mysql清理干净 1、下载后得到zip压缩包. 2、解压到自己想要安装到的目录,本人解压到的是D:\Environment\mysql-5.7.19 3、添加环境变量:我的电脑->属性->高级->环境变量 选择PATH,在其后面添加: 你的mysql 安装文件下面的bin文件夹 4、编辑 my.ini 文件 ,注意替换路径位置 [mysqld] basedir=D:\Program Files\mysql-5.7\ datadir=D:\Program Files
count() * ,1,字段 三兄弟
Frank---7的博客
12-26 11万+
/COUNT:非空的/ SELECT COUNT(studentname) FROM student; SELECT COUNT(*) FROM student; SELECT COUNT(1) FROM student; /推荐/ – 从含义上讲,count(1) 与 count() 都表示对全部数据行的查询。 – count(字段) 会统计该字段在表中出现的次数,忽略字段为null 的情况。即不统计字段为null 的记录。 – count() 包括了所有的列,相当于行数,在统计结果的时候,包含字段为n
MySQL(笔记)
Frank---7的博客
12-27 7万+
数据库总览 有时候查的数据错乱,可以重启MySQL 关系型数据库 ( SQL ) MySQL , Oracle , SQL Server , SQLite , DB2 , … 关系型数据库通过外键关联来建立表与表之间的关系 非关系型数据库 ( NOSQL )not only Redis , MongoDB , … 非关系型数据库通常指数据以对象的形式存储在数据库中,而对象之间的关系通过每个对象自身的属性来决定 DBMS 数据库管理系统 ( DataBase Management System ) 数
mysql数据库字段上下移动
Frank---7的博客
01-09 7万+
数据字段上下移动
防止SQL注入:最佳实践与方法
"防SQL注入建议.txt" SQL注入是一种常见的网络安全威胁,攻击者通过...通过上述方法的组合使用,可以显著增强应用对SQL注入攻击的防护能力。然而,安全是一项持续的工作,需要时刻关注新的威胁并采取相应的预防措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Frank---7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值