SQL注入问题及解决方法、JDBC事务处理

最新推荐文章于 2022-10-31 08:58:07 发布
最新推荐文章于 2022-10-31 08:58:07 发布
阅读量214 收藏
点赞数
分类专栏: JDBC mysql 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45981295/article/details/120840842
版权

目录

SQL注入

SQL注入问题解决方案

JDBC处理事务

使用JDBC事务步骤

JDBC API支持事务对数据库的加锁,并且提供了5种操作支持

SQL注入

利用非法的SQL拼接来达到入侵数据库的目的。

示例:

数据库中用户信息:

 以登录为例:

public class User {
    /*
    登陆方法
     */
    boolean doLogin(String name,String passwd){
        boolean result = false;
        try {
            //加载数据库驱动
            Class.forName("com.mysql.jdbc.Driver");
            
            //数据库连接
            Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.01:3306/jing","root","123456");
            System.out.println("连接成功");
         
            //获取Statement结果
            Statement statement = connection.createStatement();
            
            //查询数据库
            String sql = "select * from user where name = "+name+" and passwd = "+passwd;
            ResultSet resultSet = statement.executeQuery(sql);
            if (resultSet.next()) result = true;
            
            //关闭资源
            resultSet.close();
            statement.close();
            connection.close();
        } catch (Exception e) {
            System.out.println("连接失败");
            e.printStackTrace();
        }
        return result;
    }
}

public class App{
    public static void main(String[] args) {
        String name = "123 or 1=1";
        String passwd = "123456";

        User user = new User();
        boolean login = user.doLogin(name,passwd);
        if (login){
            System.out.println("用户登录成功");
        }else {
            System.out.println("用户名或密码错误,请重新登录");
        }
    }
}

运行结果:

       在上述代码中,通过用户名和密码与SQL语句进行拼接,查询数据库,当用户名和密码同时正确才能执行成功。

       将name参数写成“name = 123 or 1=1”  则拼接成的语句是 select * from user where name = 123 or 1=1 and passwd=123456,name参数拼接中通过非法的SQL拼接达到修改SQL语义,就达到了入侵数据库的目的。当name = 123 或者 1=1 and passwd=123456 后面中只要任何一个成立即可 ,1=1 为true ,就不在判断passwd是否正确,因此对应登录操作给定用户名,不知道密码情况下也能完成登陆。

SQL注入问题解决方案

使用PreparedStatement解决:

img

PreparedStatement将SQL及参数分别传递到MySQL服务端,会先进行SQL语义检查,能够规避SQL注入问题,建议使用prepareStatement来处理JDBC连接数据库问题。

JDBC处理事务

            /**
             * 事务操作
             * 在Connection中也提供相应方法
             * connection.setAutoCommit(false); //true  自动提交  false:手动提交  首先要取消自动提交
             * connection.commit();  //事务提交
             * connection.rollback();//事务回滚 
             */

             try {
               connection.setAutoCommit(false);
               sql操作
               connection.commit();
                  
              } execption(e){
               connection.rollback();
              }
            

使用JDBC事务步骤

  1. 获取Connection对象
  2. 取消Connection的事务自动提交方式
  3. 操作完毕提交事务
  4. 发生异常回滚事务

注意:在JDBC中,事务操作默认是自动提交,所以要修改提交方式。

JDBC API支持事务对数据库的加锁,并且提供了5种操作支持

int TRANSACTION_NONE             = 0;  不提供事务
int TRANSACTION_READ_UNCOMMITTED = 1;  未提交事务
int TRANSACTION_READ_COMMITTED = 2;   读已提交事务
int TRANSACTION_REPEATABLE_READ = 4;   可重复事务
int TRANSACTION_SERIALIZABLE = 8;      串行化事务

以上都是学习过程中的知识点总结,如果有错误或者有疑问,欢迎指正交流吖~~

静静子♡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
sqljdbc42 jdbc for java
07-19
3. 参数化查询:避免SQL注入攻击,应使用PreparedStatement进行参数化查询。 4. 使用JDBC 4.2新特性:如利用try-with-resources语法自动关闭资源,简化代码。 总结,SQLJDBC42作为Java与SQL Server之间的关键接口,...
JDBC——SQL注入解决SQL注入方法
hjk12345678910的博客
04-13 554
SQL注入原理 如下列代码 String sql="select * from t_user where loginName='"+userLoginInfo.get("loginName")+"' and passWord='"+userLoginInfo.get("passWord")+"'"; rs=s.executeQuery(sql); 在接收用户输入用户名和密码时,如果用户输入用户名为qw,密码输入qw’ or ‘1’='1,则执行的sql语句变为 select * from hero w
(三)JDBC学习笔记——抽取JDBC工具类、解决SQL注入、事务管理
mbytes的博客
03-16 138
一、抽取JDBC工具类 在上一章中,在dao层的StudentDaoImpl.java文件中,查询全部数据、根据id查询数据、增删改数据等方法对于数据库的连接和释放存在大量的重复代码,因此可以将其中的部分代码抽出来,写到一个工具类中,需要连接释放数据库时直接调用这个工具类即可。 1.创建配置文件 首先在项目根目录下创建config.properties配置文件。配置文件中存放连接数据库所需要的信息。 要使用里面的配置信息,使用java类加载器得到文件字节流,然后使用Properties类加载流对象信息,使
JDBC登录实践和SQL注入解决方法
ghf183184的博客
05-11 146
登录实践操作 /* 1.会出现SQL注入操作 2.测试结果 用户名:fff 密码:fff' or '1'='1 登录成功 */ public class JDBCTest01{ public static void main(String[] args){ //初始化一个界面 Map<String,String> userLoginInfo = initUI(); //验证用户名和密码 boolean loginSuc
JDBC解决SQL注入问题
MarconiYe的博客
04-04 889
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
sqljdbc4,SQLserver架包
07-26
4. **预编译SQL语句**:预编译语句(PreparedStatement)能防止SQL注入攻击,并且在多次执行相同SQL时有更优的性能,因为服务器端只需解析一次SQL模板。 5. **事务管理**:sqljdbc4支持JDBC的事务控制,可以进行...
JAVA连接sqlserver2008R2驱动sqljdbc4-3.0.jar
12-24
8. **安全性**:使用预编译的PreparedStatement可以防止SQL注入攻击,同时,JDBC驱动还支持SSL加密以保护数据传输的安全。 9. **异常处理**:在编写Java数据库应用时,必须捕获并适当地处理`SQLException`,以确保...
JDBCDriver3.0.rar_jdbc driver 3.0_sql jdbc 3.0_sql server jdbc_s
09-22
2. **预编译语句(PreparedStatement)**:预编译的SQL语句可以显著提升执行速度,同时防止SQL注入攻击。 3. **批处理操作**:允许多个SQL语句一次性提交,减少网络通信次数,提高整体执行效率。 4. **游标支持**:...
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以防止SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;防XSS、SQL注入数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当中的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
JDBC(三)(工具类,sql注入优化,事务自动机制,悲观锁,乐观锁)
gun_wqy的博客
03-25 1132
工具类: 解决代码重复: 1.编写配置文件: 在src目录下创建config.properties配置文件 2.编写jdbc工具类: 在config.properties里面编写: driverClass=com.mysql.jdbc.Driver url=jdbc:mysql://127.0.0.1:3306/dbtest username=root password=123456 3.使用jdbc工具类优化student表CRUD操作 在项目包下面建一个utils包,然后新建一个类:把需要封装的方法
JDBC SQL注入攻击的解决方案
weixin_59096287的博客
10-27 143
--1,概述 用来通过java程序 连接 数据库的技术 --2,使用 导入jar包(丰富的工具类) 获取和数据库的连接(用户名、密码) 通过程序执行SQL 通过程序处理结果 --3,向IDEA里导入jar包(丰富的工具类) --创建project:File-New-Project-选java-next-next-输入工程名-finish --创建lib目录:选中project-右键-new-directory-输入lib-回车 --把jar包粘贴进lib里:cv大法 .
SQL注入问题以及解决方法
spsglz的博客
11-11 1227
sql注入 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 -- 代码中的SQL语句 "SELECT * FROM user WHERE name='" + name + "' A...
数据库面试考点归纳
SGL_LGS的博客
11-11 424
2020年秋招期间自己归纳关于数据库的考点。通过秋招面试情况来看,大部分问题确实有被问到,对自己也有非常大的帮助。不建议直接看我写的回答,而是带着问题去总结自己的回答。相信坚持就会有好结果。 31个问题,共计九千多字。 1、 数据库的三大设计范式 数据库范式就是一张数据表的表结构所符合的某种设计标准的集合。 第一范式:列不可分,符合1NF的关系中的每个属性都不可再分。 第二范式:若某关系R属于第一范式,且每一个非主属性完全函数依赖于任何一个候选码,则关系R属于第二范式。理解: 第二范式是指每个表必须有一个(
事务处理拼接sql语句对数据库的操作.异常回滚
HU452261426的博客
04-07 202
public List<UserBaseInfoModel> GetCityByExamId(Guid ExamID) { var cur_user = this.GetCurrentUser(); using (SqlConnection conn = new SqlConnection...
MySQL(二)-事务
HuaJi250的博客
06-08 213
文章目录前置一、ACID原则二、使用事务1、Mysql样式2、Java中使用事务的样式3、回滚点三、隔离级别1、三个读问题2、隔离级别介绍 看了点关于MySQL的面经,发现自己基础薄弱,回来补一下基础,顺便学习一下索引优化和数据库并发 复习来源尚硅谷 Spring事务链接:自己写的,可能总结不大好 前置 事务:一条或一组SQL语句的基本单位,要不同时执行成功,要不全部失败 经典案例:A向B转账1000元,A的账户-1000元,B的账户+1000元 # account表中: A money=3000
linux
a649432的博客
04-12 479
1.Linux,是一种免费使用和自由传播的类UNIX操作系统. java、前端、大数据、算法 =》 app 服务器 =》 linux Linux的特点 (1)完全免费 (2)高效、安全、稳定 (3)支持多种硬件平台 (4)友好的用户界面 (5)强大的网络功能 (6)支持多任务、多用户 2.文件操作系统: 层级式的文件操作系统 linux 最顶层目录:/ 3.linux版本: 广义 : ubun...
jdbc——sql注入
最新发布
m0_72960906的博客
10-31 958
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC事务处理详解:T1的修改被T2覆盖案例分析
该资源是一个关于JDBC的PPT介绍,主要讨论了JDBC在处理事务时可能出现的问题以及JDBC的基本概念和作用。 在JDBC中,事务处理是一个关键的概念,尤其是在多用户环境下,例如描述中提到的"T1的修改被T2覆盖了"的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值