防止sql注入问题

最新推荐文章于 2024-07-22 09:40:00 发布
最新推荐文章于 2024-07-22 09:40:00 发布
阅读量316 收藏
点赞数
分类专栏: 数据库 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45968950/article/details/121914777
版权 
import java.sql.*;

public class JDBCConnect02 {
    public static void main(String[] args) {
        loginSystem("02","02 OR' 1 '=' 1");
    }

    public static void loginSystem(String uname, String upassword) {
        Connection connection = null; //用于和数据库的连接
        PreparedStatement preparedStatement = null;//用于发送对数据库的请求,进行数据库的增删改查操作
        ResultSet resultSet = null;//用于获取返回的数据
        try {
            // 1、注册驱动
            Class.forName("com.mysql.cj.jdbc.Driver");// 使用什么驱动连接数据库
            // 创建数据库连接
            String url = "jdbc:mysql://localhost:3306/test_db_char?useUnicode=true&characterEncoding=UTF-8&userSSL=false&serverTimezone=GMT%2B8";
            // 用户名和密码
            String user = "root";
            String password = "123456";
            // 2、跟数据库建立连接(得到链接) DruverManager返回的事java.sql下面的 所以Connection也是用javasql下面的
            connection = DriverManager.getConnection(url, user, password);
            //防止sql注入问题
            //步骤一:先创建sql查询语句
            String sql = "SELECT * FROM tb_students_info WHERE username=? AND password=?";
            //步骤二:创建PreparedStatement
            preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1, uname);
            preparedStatement.setString(2, upassword);
            resultSet = preparedStatement.executeQuery();
            while (resultSet.next()) {
                //通过列的索引获取表中的数据
                System.out.println(resultSet.getInt(1) + "-"
                        + resultSet.getString(2) + "-"
                        + resultSet.getString(3) + "-"
                        + resultSet.getString(4) + "-"
                        + resultSet.getInt(5) + "-"
                        //指定获取对象的列
                        + resultSet.getInt(6) + "-"
                        + resultSet.getBoolean(7) + "-"
                        //指定返回对象的类型
                        + resultSet.getObject(8, int.class) + "-"
                        + resultSet.getBigDecimal(9)+ "-"
                        //指定获取对象的字段名称
                        + resultSet.getDate("login_date")
                );
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }
        // 上面是分别获取了抛出的异常,还可以直接获取所有的异常
        catch (Exception e) {
            e.printStackTrace();
        } finally {
            try {
                if (resultSet != null)
                    resultSet.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            try {
                if (preparedStatement != null)
                    preparedStatement.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
            try {
                if (connection != null)
                    connection.close();
            } catch (SQLException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
            }
        }

    }
}
星域_03zhan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
day10:JDBC、SQL注入防止注入、数据库插入时间、IDEA连接数据库、ACID原则、JDBC事务、连接池、dbcp、c3p0、druid,dbutil工具类、springJDBC
m0_45209551的博客
03-28 1165
10、JDBC(重点) 驱动:声卡、显卡、数据库 10.1数据库驱动 我们的程序会通过数据库驱动,和数据库打交道 10.2、JDBC SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库的)规范,俗称JDBC这些规范的实现由具体的厂商去做~对于开发人员来说,我们只需要掌握JDBC接口的操作即可! java.sql javax.sq 导入mysql-connector-java-5.1.49 10.3、第一个JDBC程序 1.建立数据库 CR
防止Sql注入问题
weixin_59472231的博客
01-18 822
Sql注入(小白必看)
sql注入详解
热门推荐
good good study
05-05 20万+
SQL注入SQL Injection)是一种常见的Web安全漏洞,主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱库、被删除、甚至整个服务器权限陷)。 即:注入产生的原因是后台服务器接收相关参数未经过滤直接带入数据库查询...
怎么防止SQL注入
。。。。
03-21 6993
防止SQL注入攻击的方法是使用参数化查询,也就是使用预编译语句(Prepared Statement)或者存储过程(Stored Procedure)来处理 SQL 查询语句。 使用预编译语句的好处是,它会将 SQL 查询语句和参数分开,从而避免了恶意用户通过参数注入恶意 SQL 代码的风险。同时,预编译语句可以有效地缓存 SQL 查询语句,提高查询性能。
mybatis如何防止SQL注入
m0_61802230的博客
05-17 8449
sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象会对传入sql进行预编译,那么当传入.
防止SQL注入
u014644574的博客
04-27 1999
防止SQL注入
如何防止sql恶意注入
m0_72345017的博客
09-13 1229
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 会直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入
MyBatis怎么防止sql注入
m0_62381101的博客
09-22 4130
1. 使用`#{}`占位符:在SQL语句中使用`#{}`占位符来代替传入的参数值,而不是直接拼接参数值到SQL语句中。通过使用动态SQL的条件判断和循环等功能,可以避免直接拼接参数值到SQL语句中,从而减少SQL注入的风险。综上所述,通过使用`#{}`占位符、动态SQL、输入参数校验、预编译语句和限制权限等方法,可以有效地防止SQL注入攻击。5. 限制权限:在数据库层面,可以限制数据库用户的权限,只给予其执行特定操作的权限,避免恶意操作和注入攻击。
避免sql注入的方法
春风化雨
12-17 761
1、使用预处理 PreparedStatement mybatis防止sql注入: # 将sql进行预编译sql,然后底层再使用PreparedStatement的set方法进行参数设置。 $ 将传入的数据直接将参数拼接在sql中。 #与$相比,#可以很大程度的防止sql注入,因为对sql做了预编译处理。 2、使用正则表达式过滤掉字符中的特殊字符 即对你参数进行合理教研,避免sql拼接恶意脚本。 ...
mybatis 防止sql注入原理
Sam997的博客
01-11 917
mybatis 防止sql注入原理
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
asp.net 防止SQL注入攻击
10-29
asp.net网站防止SQL注入攻击,通常的办法是每个文件都修改加入过滤代码,这样很麻烦,下面介绍一种办法,可以从整个网站防止注入。
PostgreSQL异常:An I/O error occurred while sending to the backend
IT后浪的博客
07-19 439
在使用PostgreSQL数据库批量写入数据的时候,遇到了一个问题,异常内容如下:Cause: org.postgresql.util.PSQLException: An I/O error occurred while sending to the backend.
SQL Server开发新纪元:用SQL Server Data Tools (SSDT) 打造数据库
2401_85341950的博客
07-20 959
SSDT 是一个基于Visual Studio的开发工具,它集成了对SQL Server数据库项目的支持。SSDT 提供了可视化的设计界面,以及对数据库版本控制和自动化测试的支持。
SQL Server内置的HTAP技术
最新发布
2401_85789772的博客
07-22 461
假设用户建了一个行存索引和列存索引组合的表,事务插入数据时,会同时插入行存和Delta Store,Delta Store达到100W行阈值后冻结,tuple-mover后台线程会将其中较冷的数据迁移到Main Store,无论是过去的传统数仓,还是现在的大数据技术栈,都存在这个时效性问题。根据数仓场景的特点,SQL Server列存的开销其实可以接受,然后使用类Delta-Main架构也是比较主流的做法,但是到了HTAP的场景,整个数据库需要支撑高并发的查询和更新,列存的开销就会被放大。
PostgreSQL的逻辑架构
weixin_41992498的博客
07-18 174
一、PostgreSql的逻辑架构:所有者:
tp5 insert防止sql注入
07-21
使用参数绑定可以有效地防止SQL注入问题,因为参数绑定会对用户输入的数据进行转义和过滤,确保输入的数据不会破坏原有的SQL语句结构。同时,还建议对用户输入进行必要的验证和过滤,以进一步增强安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值