SQL注入问题及解决方法、JDBC事务处理

最新推荐文章于 2024-01-11 08:48:39 发布
最新推荐文章于 2024-01-11 08:48:39 发布
阅读量198 收藏
点赞数
分类专栏: JDBC mysql 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45981295/article/details/120840842
版权

目录

SQL注入

SQL注入问题解决方案

JDBC处理事务

使用JDBC事务步骤

JDBC API支持事务对数据库的加锁,并且提供了5种操作支持

SQL注入

利用非法的SQL拼接来达到入侵数据库的目的。

示例:

数据库中用户信息:

 以登录为例:

public class User {
    /*
    登陆方法
     */
    boolean doLogin(String name,String passwd){
        boolean result = false;
        try {
            //加载数据库驱动
            Class.forName("com.mysql.jdbc.Driver");
            
            //数据库连接
            Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.01:3306/jing","root","123456");
            System.out.println("连接成功");
         
            //获取Statement结果
            Statement statement = connection.createStatement();
            
            //查询数据库
            String sql = "select * from user where name = "+name+" and passwd = "+passwd;
            ResultSet resultSet = statement.executeQuery(sql);
            if (resultSet.next()) result = true;
            
            //关闭资源
            resultSet.close();
            statement.close();
            connection.close();
        } catch (Exception e) {
            System.out.println("连接失败");
            e.printStackTrace();
        }
        return result;
    }
}

public class App{
    public static void main(String[] args) {
        String name = "123 or 1=1";
        String passwd = "123456";

        User user = new User();
        boolean login = user.doLogin(name,passwd);
        if (login){
            System.out.println("用户登录成功");
        }else {
            System.out.println("用户名或密码错误,请重新登录");
        }
    }
}

运行结果:

       在上述代码中,通过用户名和密码与SQL语句进行拼接,查询数据库,当用户名和密码同时正确才能执行成功。

       将name参数写成“name = 123 or 1=1”  则拼接成的语句是 select * from user where name = 123 or 1=1 and passwd=123456,name参数拼接中通过非法的SQL拼接达到修改SQL语义,就达到了入侵数据库的目的。当name = 123 或者 1=1 and passwd=123456 后面中只要任何一个成立即可 ,1=1 为true ,就不在判断passwd是否正确,因此对应登录操作给定用户名,不知道密码情况下也能完成登陆。

SQL注入问题解决方案

使用PreparedStatement解决:

img

PreparedStatement将SQL及参数分别传递到MySQL服务端,会先进行SQL语义检查,能够规避SQL注入问题,建议使用prepareStatement来处理JDBC连接数据库问题。

JDBC处理事务

            /**
             * 事务操作
             * 在Connection中也提供相应方法
             * connection.setAutoCommit(false); //true  自动提交  false:手动提交  首先要取消自动提交
             * connection.commit();  //事务提交
             * connection.rollback();//事务回滚 
             */

             try {
               connection.setAutoCommit(false);
               sql操作
               connection.commit();
                  
              } execption(e){
               connection.rollback();
              }
            

使用JDBC事务步骤

  1. 获取Connection对象
  2. 取消Connection的事务自动提交方式
  3. 操作完毕提交事务
  4. 发生异常回滚事务

注意:在JDBC中,事务操作默认是自动提交,所以要修改提交方式。

JDBC API支持事务对数据库的加锁,并且提供了5种操作支持

int TRANSACTION_NONE             = 0;  不提供事务
int TRANSACTION_READ_UNCOMMITTED = 1;  未提交事务
int TRANSACTION_READ_COMMITTED = 2;   读已提交事务
int TRANSACTION_REPEATABLE_READ = 4;   可重复事务
int TRANSACTION_SERIALIZABLE = 8;      串行化事务

以上都是学习过程中的知识点总结,如果有错误或者有疑问,欢迎指正交流吖~~

静静子♡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【动力节点】Java经典教程_JDBC视频教程
07-22
教程名称:       【动力节点】Java经典教程_JDBC视频教程  本套Java视频教程中讲解了Java编程语言如何连接数据库,对数据库中的数据进行增删改查操作,适合于已经学习过Java编程基础以及数据库的同学。Java教程中阐述了接口在开发中的真正作用,JDBC规范制定的背景,JDBC编程六部曲,JDBC事务,JDBC批处理,SQL注入,行级锁等,是学习JDBC最好的Java教程。JDBC 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;防XSS、SQL注入数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当中的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
JDBC(powernode CD2206)详尽版 (教学视频、源代码、SQL文件)
01-27
JDBC(powernode CD2206)详尽版 (教学视频、源代码、SQL文件) 包含:教学视频、源代码(与博客同步)、SQL文件 一、介绍 二、JDBC常用的接口和类 2.1 Driver接口 2.2 DriverManager类 2.3 Connection接口 2.4 Statement接口 2.5 PreparedStatement接口 2.6 ResultSet接口 2.7 DataSource接口 三、JDBC操作数据库的步骤 四、编写第一个JDBC程序 五、册案例 六、登录案例 6.1 Statement 七、SQL注入 7.1 SQL注入 7.2 出现SQL注入的原因 7.3 解决方案 7.4 PreparedStatement接口 7.5 PreparedStatement如何解决SQL注入 7.6 使用PreparedStatement改进代码,解决SQL注入问题 八、编写JDBC工具类 九、CRUD操作 十、事务操作 十一、批处理 11.1 jdbc.properties 11.2 BatchDemo.java 11.3 没有进行批处理的耗时
Java学习指南(8) MySQL数据库JDBC框架
06-15
一、课程简介『Java学习指南系列』的第8篇教程 ,介绍MySQL数据库的安装使用,常见SQL语句,以及使用JDBC进行数据库开发的技术。 二、主要内容? * MySQL的安装和使用 * 常用SQL语句,增删改查操作 * 高级SQL查询,多表关联查询 * 表的设计:主键,索引,内连接外连接,外键? * MySQL配置管理: 用户授权,远程访问,备份还原 * JDBC连接: 使用JDBC连接数据库,执行增删改查操作 *?基于JDBC数据库框架的设计(afsql框架),以此阐述数据库框架的设计原理* JDBC连接池,JDBC数据库开发的必备技术 *?数据库事务 Transaction 的支持? * SQL的转义,数据库入攻击的预防 * 数据库的动态访问:获取数据库和表的结构,根据表的结构自动生成POJO 三、课程体系 〖Java学习指南系列〗:包含入门与进阶语法,Swing桌面开发,安卓开发,JavaFX开发,网络通信Socket,数据结构与算法等课程。 〖网站开发系列〗:包含网页基础、网站入门、数据库、网站中级、FreeMarker、网站高级、项目应用、MyBatis、Redis等课程
一篇搞定JDBCMysql基础】
12-14
目录1.JDBC2.JDBC的本质模拟JDBC3.导入jar包4.JDBC编程六步用户登录验证5.解决SQL注入问题用户登录改进后6.对比Statement和PreparedStatement7.演示只能使用Statement对象不能使用PreparedStatement的业务需求用户输入sql语句8.JDBC事务控制三段重要代码应用于数据库用户之间的转账9.悲观锁和乐观锁机制举栗子说明 1.JDBC Java Database Connectivity(java语言连接数据库) 2.JDBC的本质 JDBC是SUN公司制定的一套接口(interface) import java.sql.*
事务处理拼接sql语句对数据库的操作.异常回滚
HU452261426的博客
04-07 197
public List<UserBaseInfoModel> GetCityByExamId(Guid ExamID) { var cur_user = this.GetCurrentUser(); using (SqlConnection conn = new SqlConnection...
MySQL(二)-事务
HuaJi250的博客
06-08 197
文章目录前置一、ACID原则二、使用事务1、Mysql样式2、Java中使用事务的样式3、回滚点三、隔离级别1、三个读问题2、隔离级别介绍 看了点关于MySQL的面经,发现自己基础薄弱,回来补一下基础,顺便学习一下索引优化和数据库并发 复习来源尚硅谷 Spring事务链接:自己写的,可能总结不大好 前置 事务:一条或一组SQL语句的基本单位,要不同时执行成功,要不全部失败 经典案例:A向B转账1000元,A的账户-1000元,B的账户+1000元 # account表中: A money=3000
linux
a649432的博客
04-12 441
1.Linux,是一种免费使用和自由传播的类UNIX操作系统. java、前端、大数据、算法 =》 app 服务器 =》 linux Linux的特点 (1)完全免费 (2)高效、安全、稳定 (3)支持多种硬件平台 (4)友好的用户界面 (5)强大的网络功能 (6)支持多任务、多用户 2.文件操作系统: 层级式的文件操作系统 linux 最顶层目录:/ 3.linux版本: 广义 : ubun...
jdbc——sql注入
m0_72960906的博客
10-31 924
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC解决SQL注入问题
MarconiYe的博客
04-04 865
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
JDBC入门到精通视频教程课堂笔记
12-17
本套视频教程中讲解了Java语言如何连接数据库,对数据库中的数据进行增删改查操作,适合于已经学习过Java编程基础以及数据库的同学。Java教程中阐述了接口在开发中的真正作用,JDBC规范制定的背景,JDBC编程六部曲,JDBC事务,JDBC批处理,SQL注入,行级锁等。
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
JDBC源码与PPT.zip
06-04
JDBC相关内容的源码与PPT,包括CRUD的操作,事务,存储过程,SQL注入,驱动等等内容以及相关源码
jdbc基础和参考
01-08
提供预编译的功能,某种程度上可以避免sql注入问题 4.提前做语法检查,在给?赋值的过程中要求数据类型一定要匹配,这样在某种程度上可以避免因为数据类型不匹配而发生的异常 CallableStatement:主要用来执行...
一文搞懂SQL.pdf
05-28
MySQL的教程,包括查询语法(最主要)、事务、索引、备份、JDBC、范式、入、池化技术。其中查询语法讲解了去重、where、联表查询、排序、分组、分页、函数、过滤等。
Spring + Hibernate + Struts 事务配置小例子(带提示框等小技巧)
05-27
-- 事务拦截器bean需要依赖入一个事务管理器 --> <!-- 下面定义事务传播属性 [ bus* 事务的方法名]--> *">PROPAGATION_REQUIRED <!-- 定义BeanNameAutoProxyCreator,该bean是个bean后...
四种防止SQL注入解决方案
最新发布
weixin_43702295的博客
01-11 2893
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
SQL注入解决方案
m0_54356563的博客
10-14 3248
目录 SQL注入问题解决方案 SQL注入问题解决方案: JDBC处理事务 1、SQL注入问题解决方案 SQL注入:利用非法的SQL拼接来达到入侵数据库的目的 以登录为例: /** * 登录方法 */ boolean doLogin(String name, String passwd) { boolean result = false; try { //1、加载数据库驱动 MySQL-》com.my
SQL注入的一些示例及解决SQL注入方法
weixin_43618785的博客
03-09 8499
解决SQL注入方法
JDBC相关接口及类的使用
04-04
JDBC(Java DataBase Connectivity)是Java语言访问关系型数据库的标准API。JDBC提供了一组接口和类,用于连接数据库、执行SQL语句、处理结果集等操作。下面是一些常用的JDBC接口及类的使用方法。 1. DriverManager类 DriverManager是JDBC驱动程序管理类,用于获取数据库连接。以下是获取MySQL数据库连接的示例代码: ```java Class.forName("com.mysql.cj.jdbc.Driver"); // 加载MySQL驱动 String url = "jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&serverTimezone=GMT%2B8&useSSL=false"; String user = "root"; String password = "123456"; Connection conn = DriverManager.getConnection(url, user, password); // 获取数据库连接 ``` 2. Connection接口 Connection表示与数据库的连接,用于执行SQL语句、提交事务等操作。以下是一个简单的示例: ```java Statement stmt = conn.createStatement(); // 创建Statement对象 String sql = "SELECT * FROM user"; // SQL查询语句 ResultSet rs = stmt.executeQuery(sql); // 执行SQL查询语句,返回结果集 while(rs.next()){ // 遍历结果集 String name = rs.getString("name"); int age = rs.getInt("age"); System.out.println(name + ":" + age); } rs.close(); // 关闭结果集 stmt.close(); // 关闭Statement对象 conn.close(); // 关闭数据库连接 ``` 3. Statement接口 Statement表示执行SQL语句的对象,可以执行查询、更新、删除等操作。以下是一个示例: ```java Statement stmt = conn.createStatement(); // 创建Statement对象 String sql = "INSERT INTO user(name, age) VALUES('张三', 20)"; // SQL插入语句 int count = stmt.executeUpdate(sql); // 执行SQL插入语句,返回受影响的行数 System.out.println("插入了" + count + "行数据"); stmt.close(); // 关闭Statement对象 conn.close(); // 关闭数据库连接 ``` 4. PreparedStatement接口 PreparedStatement表示预编译的SQL语句,可以避免SQL注入攻击,并且比Statement执行SQL语句更快。以下是一个示例: ```java String sql = "INSERT INTO user(name, age) VALUES(?, ?)"; // SQL插入语句,使用占位符 PreparedStatement pstmt = conn.prepareStatement(sql); // 创建PreparedStatement对象 pstmt.setString(1, "张三"); // 设置第一个参数的值 pstmt.setInt(2, 20); // 设置第二个参数的值 int count = pstmt.executeUpdate(); // 执行SQL插入语句,返回受影响的行数 System.out.println("插入了" + count + "行数据"); pstmt.close(); // 关闭PreparedStatement对象 conn.close(); // 关闭数据库连接 ``` 5. ResultSet接口 ResultSet表示查询结果集,可以遍历结果集、获取字段值等。以下是一个示例: ```java Statement stmt = conn.createStatement(); // 创建Statement对象 String sql = "SELECT * FROM user"; // SQL查询语句 ResultSet rs = stmt.executeQuery(sql); // 执行SQL查询语句,返回结果集 while(rs.next()){ // 遍历结果集 String name = rs.getString("name"); int age = rs.getInt("age"); System.out.println(name + ":" + age); } rs.close(); // 关闭结果集 stmt.close(); // 关闭Statement对象 conn.close(); // 关闭数据库连接 ``` 以上是几个常用的JDBC接口及类的使用方法,通过它们可以完成连接数据库、执行SQL语句、处理结果集等操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值