JDBC用PrepareStatement解决SQL注入

最新推荐文章于 2023-12-28 10:30:10 发布
最新推荐文章于 2023-12-28 10:30:10 发布
阅读量2.2k 收藏 5
点赞数 2
分类专栏: JdbC 文章标签: sql 数据库 java Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46534049/article/details/128808077
版权

  1. 什么是sql注入?

SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。

例如:当你的用户名为 qwert' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:

SELECT * FROM USER WHERE `username`='qwert' OR 1=1;#' AND `password` = '123';

这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。

  1. 如何避免sql注入?

由于SQL注入产生的原因是在用户输入数据对SQL整合,整合后再发送到数据库进行编译产生的。所以为了避免SQL注入,就需要SQL语句在用户输入数据前就进行编译,成为完整的SQL语句,编译完成后再进行数据填充。这个操作需要使用PrepareStatement实现。

  1. PreparedStatement解决sql注入

PreparedStatement接口继承了Statement接口,执行SQL语句的方法与Statement执行SQL语句的方法相同。

3.1PreparedStatement的作用

(1)不再使用+拼接sql语句,减少语法错误

(2)有效的解决了sql注入问题!

(3)大大减少了编译次数,效率较高

3.2参数标记

//预编译SQL语句,SQL中的所有参数由?符号占位,这被称为参数标记。在执行SQL语句之前,必须为每个参数提供值。
String sql = "select * from user where `username` = ? and `password`=?;";
PreparedStatement preparedStatement = connection.prepareStatement(sql);

3.3动态参数绑定

PreparedStatement对象的setXxx()方法来设置这些参数,Xxx表示数据类型。. setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。

  1. 用PreparedStatement对user进行增删改查,查询一条或多条

4.1创建实体类User类对uid,username,password,phone进行封装,添加有参构造(一个有id的有参勾构造方法和一个没有id的构造方法),添加get和set方法再添加toString方法不添加就只会输出地址值。还需要创建一个目录为lib,把需要的架包复制进去并添加为库。

4.2插入一条数据和修改一条数据

导包是导入sql的包

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class Jdbc01PreparedStatementInsertUse {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement =null;

        try {
            // 1、注册驱动
            Class.forName("com.mysql.jdbc.Driver");

            // 2 、获取数据库连接对象url的jdbcdata是你自己数据库的名字
            String url = "jdbc:mysql://127.0.0.1:3306/jdbcdata";
             //user是你数据的名称
            String user = "root";
            //password是数据的密码
            String password = "123456";
            connection = DriverManager.getConnection(url, user, password);

            // 3、这是插入数据编写SQL语句,SQL语句中需要的数据先使用占位符?表示,然后在执行前给占位符赋值
            String sql = "INSERT INTO `user`(`username`,`password`,`phone`) VALUES(?,?,?);";
            // 这是修改数据编写SQL语句
          String sql = "Update user set username=?,password=?,phone=?;WHERE `uid`=?";
            // 4、获取发送SQL语句对象
            preparedStatement = connection.prepareStatement(sql);

            //插入数据创建对象
            User user2 = new User("桂花", "123456", "12345678911");
            
            //删除数据创建的对象
          User user2 = new User(1002, "李四", "112233", "13955661133");
            //5、插入数据绑定参数,给?赋值
            preparedStatement.setString(1, user2.getName());
            preparedStatement.setString(2, user2.getPassword());
            preparedStatement.setString(3, user2.getPhone());
             修改数据需要的数据绑定参数
            preparedStatement.setString(1, user2.getName());
            preparedStatement.setString(2, user2.getPassword());
            preparedStatement.setString(3, user2.getPhone());
            preparedStatement.setINt(4, user2.getUid());
            // 6、执行SQL语句
            // DML语句:对于插入数据、修改数据、删除数据操作,都调用executeUpdate()方法,返回受影响的行数(int类型)
            // DQL语句:对于查询数据,调用executeQuery()方法,返回一个结果集(ResultSet类型)
            int result = preparedStatement.executeUpdate();

            // 7、处理结果,如果返回的受影响行数不为0,说明数据插入成功
            if (result != 0) {
                System.out.println("数据插入成功");
            } else {
                System.out.println("数据插入失败");
            }

        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            // 8、释放资源,遵循“先开后关,后开先关”的原则
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

            if (preparedStatement != null) {
                try {
                    preparedStatement.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }

        }

    }
}

这是插入数据的运行结果

4.3删除一条数据

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class Delete {
    public static void main(String[] args) {
        Connection connection=null;
        PreparedStatement pstmt=null;
//        注册驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
            //        获取数据库连接对象
           connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbcdata","root","123456");

            //        编写语句
            String sql="Delete from user where uid=?;";
//        获取发送sql语句发送对象
            pstmt = connection.prepareStatement(sql);
//        创建对象
//            User user = new User("hha","14578","12345614785");
//        绑定参数
            pstmt.setInt(1, 1003);

//        执行语句
            int result=pstmt.executeUpdate();
// 处理结果
            if (result != 0) {
                System.out.println("删除成功");
            }else {
                System.out.println("删除失败");
            }
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }finally {
            if (pstmt != null) {
                try {
                    pstmt.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
        }

    }
}

这是删除一条数据的运行结果

4.4使用结果集查询一条数据

import entity.User;

import java.sql.*;

public class SelectOne {
    public static void main(String[] args) {
        Connection connection=null;
        PreparedStatement preparedStatement = null;
        ResultSet result = null;
        User user1 =null;
        try {
            Class.forName("com.mysql.jdbc.Driver");
            //        获取数据库连接对象
        connection= DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbcdata","root","123456");
//          编写语句
            String sql="Select * from user where uid=?;";
//            获取发送sql语句对象
             preparedStatement= connection.prepareStatement(sql);
//            绑定参数因为uid是Int类型所以是setInt,set是固定加数据类型
            preparedStatement.setInt(1,1001);
//            执行语句
            result=preparedStatement.executeQuery();
//            处理结果
            if (result.next()) {
//                根据记录中字段的索引字段数据,字段索引从1开始
                int uid = result.getInt(1);
                String username=result.getString(2);
                String password=result.getString(3);
                String phone=result.getString(4);
//                使用有参构造
                 user1 = new User(uid,username,password,phone);
                System.out.println(user1);
            }
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        } catch (SQLException e) {
            throw new RuntimeException(e);
        }finally {
            if (result != null) {
                try {
                    result.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
            if (preparedStatement != null) {
                try {
                    preparedStatement.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
            if (connection != null) {
                try {
                    connection.close();
                } catch (SQLException e) {
                    throw new RuntimeException(e);
                }
            }
        }

    }


}

这是查询一条数据的运行结果

4.5使用集合查询所有数据

代码cv的搬运工
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JDBC常用接口PrepareStatement
王浴昊
03-21 7476
在新手推荐JSP+JavaBean+Servlet MVC模式用户注册模块中,有关数据库的操作,我们用到了: String sql ="select * from tb_user WHERE username=?"; PreparedStatement ps = connection.prepareStatement(sql); ps.setString(1, username); R
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
SQL注入原理与解决方法代码示例
09-09
主要介绍了SQL注入原理与解决方法代码示例,小编觉得还是挺不错的,这里分享给大家,供需要的朋友参考。
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 5998
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
Java Web 学习之JDBC 基础(篇2)
焱宣的博客
03-07 772
篇1 介绍了使用JDBC 连接数据库及部分API 实现sql 查询,及数据库资源的回收,本篇主要是围绕 PrepaeredStatement对象的使用及Sql注入相关: 1.Sql 注入: sql注入是比较常见的网络攻击形式,它利用现有的程序漏洞,将恶意的Sql命令注入后台数据库,最终达到欺骗服务器并实现攻击者的意图,在程序运行过程中,Sql注入会造成数据库信息泄露,网页被篡改,网站被挂木马等问题, 如接下来的两个Sql 语句: Select * from ...
jdbc连接数据库演示(Statement、PrepareStatement,CallableStatement的演示)
lengjinghk的博客
08-08 659
在实际的开发中可能频繁用到数据库,这就要频繁创建连接对象以及频繁填充参数,一个好的方法是(类似实际框架中运用的方法)将参数以key-value的形式在src目录下(因为以后可能涉及到网络操作,方便获取)创建一个配置文件,将创建连接器的那部分代码做成一个工具类。示例如下: jdbc.properties的source视图(#表示注释): jdbc.properties的properties视图
SQLException(SQL异常)可能的原因和解决方法
Java开源程序猿
12-28 1万+
时,可以根据具体情况选择合适的处理方式,可能包括记录错误日志、回滚事务、重新尝试操作等。对于连接、事务和资源的管理要及时释放以避免资源泄漏。确保在数据库操作中进行适当的异常处理,根据异常的类型采取相应的处理措施。详细的错误日志和异常堆栈信息对于定位和解决问题非常有帮助。是在 Java 中处理数据库操作过程中可能发生的异常,通常是由于底层数据库操作错误或违反了数据库规则而引起的。
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
此外,PrepareStatement还能够防止SQL注入攻击,因为它允许我们使用占位符(?)来代替直接拼接字符串。 在描述中提到的基本查询和更新场景中,我们可以使用PreparedStatement的`setXXX()`方法设置参数,其中XXX代表...
SQL注入漏洞过程实例及解决方案
12-14
PreparedStatement pstat=conn.prepareStatement(sql); pstat.setString(1, username); pstat.setString(2, password); ``` `PreparedStatement`会将参数视为占位符,而不是字符串的一部分,因此即使输入包含SQL...
JDBCStatement和Preparement的使用讲解
08-26
JDBCStatement 和 PrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
connection 和 preparedstatement 的关闭问题
01-29
什么时候用statement,什么时候用preparedstatement
java连接数据库的Connection中的prepareStatement与createStatement的区别
ilaveyou68的专栏
04-23 4316
这两者的区别主要在于如何构造执行sql语句的对象, 1,对于prepareStatement来说,其执行返回的是一个prepareStatement对象,而这个方法的描述是这样的,prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。它需要一个参数,这个参数就是需要执行的sql语句。而createSt
PreparedStatement的setObject与getObject方法
qq_43750656的博客
03-10 1838
使用setObject方法填充占位符时,setObject会判断实际传入的参数类型,进行参数转换,例如,如果是String类型,则会在参数开始和结尾追加 ',setString的源码 parameterAsBytes = null; buf = new StringBuilder(x.length() + 2); buf.append('\''); buf..
JDBC(五)PreparedStatement 详解
weixin_33962923的博客
03-03 304
PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下有点: 简化Statement中的操作 提高执行语句的性能 可读性和可维护性更好 安全性更好。 使用PreparedStat...
JDBC编程---JDBC基础以及连接MySql数据库
全栈工程师
07-22 398
一:JDBC基础 JDBC全称为 Java Database Connectivity。即为java数据库连接,它是一种可执行SQL语句的API。程序可通过JDBC连接到关系型数据库,并且使用结构化查询语言(SQL数据库标准的查询语言)来完成对数据库的查询和更新。 与其他数据库编程环境相比,JDBC数据库提供了标准的API。所以使用JDBC数据库可以跨平台开发,如果全部使用标准的SQL语句,也可以说夸数据库开发。也就是说,如果使用一个JDBC开发一个数据库应用,那么该应用既可以在windows..
JavaEE--prepareStatement后面的setString()方法是为何?
热门推荐
山顶雨人
04-15 1万+
prepareStatement执行sql代码进行username和password验证后,还要把两者通过setString()再插入下。 [pstmt = ct.prepareStatement("sql");pstmt.setString(1,name);ResultSet rs = pstmt.executeQuery();]
JDBC之使用Statement,PreparedStatement,ResultSet
hustwht的专栏
08-12 5436
1. 创建一个获取 Connection 对象和关闭资源的工具类 在对数据库进行CRUD操作的时候,每一个操作都需要获取Connection对象,所以我们就可以把获取Connection对象的过程抽离到一个工具类当中,下面是具体代码。  View Code public final class JdbcUtil { private JdbcUtil() {
使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决办法
evilcry2012的专栏
11-14 8109
使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决办法 原创 2013年10月03日 19:20:27 标签:数据库 /sql /java /Preparedment /产生空格 1910 数据库表的数据项如果设置为char、verchar类型,使用PreparedStatement向表中插入字符串
如何使用JDBC的PreparedStatement类的setClob()方法
Trigl的博客
03-19 8443
上传一般长度的字符串时,我们经常使用PreparedStatement的setString()方法,有时候我们需要上传长字符串或者数据库需要CLOB格式,这个时候就可以使用reparedStatement的setClob()方法,示例代码如下:String str = "some string"; Clob clob = connection.createClob(); clob.setString
jdbcstatement和preparestatement区别
05-05
JDBC 中,Statement 和 PreparedStatement 都是用于执行 SQL 语句的接口,但它们之间有以下的区别: 1. PreparedStatement 预编译: PreparedStatement 对象在执行 SQL 语句之前会进行预编译,这样可以提高 SQL 语句的执行效率。而 Statement 对象则不会进行预编译,每次执行 SQL 语句时都会解析一次 SQL 语句,效率较低。 2. PreparedStatement 防止 SQL 注入攻击: PreparedStatement 对象可以使用占位符(?)来组合 SQL 语句,这样可以防止 SQL 注入攻击。而 Statement 对象则没有这样的功能。 3. PreparedStatement 可读性: PreparedStatement 对象的 SQL 语句可读性较差,因为 SQL 语句中的变量都是使用占位符表示的。而 Statement 对象的 SQL 语句可读性较高,因为 SQL 语句中的变量都是直接拼接在 SQL 语句中的。 总的来说,PreparedStatement 对象比 Statement 对象更加灵活、安全且高效。因此,在实际的开发中,我们通常会优先使用 PreparedStatement 对象来执行 SQL 语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值