通过PreparedStatement预防SQL注入

已于 2023-09-14 09:00:44 修改
阅读量612 收藏 3
点赞数
分类专栏: 数据库学习与提升 Java基础实验 文章标签: sql 数据库 mysql
于 2022-11-25 10:08:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51447496/article/details/128032906
版权

通过PreparedStatement预防SQL注入

简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。
推荐学习路线JDBC数据库的连接->Connection(数据库连接对象)->Driud数据库连接池的使用->ResultSet->通过PreparedStatement预防SQL注入->JDBC增删改查案例讲解 大家跟着敲完基本就可以JDBC基础毕业了。

数据库表格

在这里插入图片描述

学习代码

import java.sql.*;


public class JDBCDemo {

    public static void main(String[] args) throws Exception {
        //1. 注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2. 获取连接
        // String url = "jdbc:mysql://127.0.0.1:3306/books"; // 如果是mysql5这样写
        String url = "jdbc:mysql://localhost:3306/db?serverTimezone=GMT%2B8&useOldAliasMetadataBehavior=true"; // 如果是mysql8这样写
        String username = "root";
        String password = "12345";

        Connection conn = DriverManager.getConnection(url, username, password);

        // 接收用户输入 用户名和密码
        String name = "admin";
        String pwd = "12345";
        String sql = "select * from users where username = ? and userpwd = ?";
        // 获取pstmt对象
        PreparedStatement pstmt = conn.prepareStatement(sql);

        // 设置?的值
        pstmt.setString(1, name);
        pstmt.setString(2, pwd);
        System.out.println(pstmt); // 查看最后拼接的sql语句是啥

        // 执行sql
        ResultSet rs = pstmt.executeQuery();
        // 判断登录是否成功
        if(rs.next()){
            System.out.println("登录成功~");
        }else{
            System.out.println("登录失败~");
        }

        //7. 释放资源
        rs.close();
        pstmt.close();
        conn.close();
    }
}

运行结果
在这里插入图片描述

语法解析

PreparedStatement概述

PreparedStatement作用:

  • 预编译SQL语句并执行:预防SQL注入问题

  • 获取 PreparedStatement 对象

    // SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and password = ?";
// 通过Connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.prepareStatement(sql);

  • 设置参数值

    上面的sql语句中参数使用 ? 进行占位,在之前之前肯定要设置这些 ? 的值。

    PreparedStatement对象:setXxx(参数1,参数2):给 ? 赋值

    • Xxx:数据类型 ; 如 setInt (参数1,参数2)

    • 参数:

      • 参数1: ?的位置编号,从1 开始

      • 参数2: ?的值

  • 执行SQL语句

    executeUpdate(); 执行DDL语句和DML语句

    executeQuery(); 执行DQL语句

    注意:

    • 调用这两个方法时不需要传递SQL语句,因为获取SQL语句执行对象时已经对SQL语句进行预编译了。
极客李华
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
达内CGB2110第二次java月考答案与解释
m0_67401228的博客
03-02 1785
1、【单选题】 下面的描述错误的是() A. Statement的executeUpdate()方法会返回值是int类型,含义是DML操作影响记录数 B. Statement的executeQuery()方法会返回一个结果集 C. Statement的executeUpdate()方法会返回是否更新成功的boolean值 D. Statement的execute ()方法会返回boolean值 ,含义是是否返回结果集 【正确答案】C 【答题时间】2021-12-28 07:09:31 【答案解析】JDBC
mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9773
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
MySQL--PreparedStatement对象详解(推荐使用)==>防止SQL注入,并且效率更高
天行健 君子以自强不息,地势坤 君子以厚德载物。
03-04 508
PreparedStatement 可以放置SQL注入,并且效率更高。 测试插入 示例: package jdbc.lesson; import jdbc.lesson.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class TestInsert { public st
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 462
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysqlSQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 288
PreparedStatement PreparedStatement是防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 Class.fo
有效防止SQL注入的5种方法总结
09-09
参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
mysqlsql注入简单测试了解
08-31
SQL注入是一种常见的网络安全漏洞,它发生在应用程序...总之,理解SQL注入的原理并采取相应的预防措施对于保护数据库免受攻击至关重要。开发者需要时刻警惕潜在的注入风险,并采取适当的安全措施来加固他们的应用程序。
防御SQL注入的方法总结
12-15
开发人员应遵循安全编码规范,如OWASP的Secure Coding Practices,这些指导原则有助于在开发过程中预防SQL注入和其他类型的攻击。 总之,防御SQL注入需要多层面的策略,包括编程实践、数据库配置、输入验证和使用...
分享一个简单的sql注入
12-16
总之,SQL注入是一种严重的网络安全威胁,需要开发者和系统管理员时刻保持警惕,采取有效的预防措施,以保护数据库和用户信息的安全。通过理解SQL注入的原理、识别潜在的攻击模式,并结合安全编程实践,我们可以大大...
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
Java:PreparedStatement 防止SQL注入
CSDN_chenyang的博客
06-02 311
Statement和PreparedStatement的区别 联系 PreparedStatement继承自Statement,两者都是接口。 Statement 用于执行静态SQL 语句在执行时,必须指定一个事先准备好的SQL语句。 PreparedStatement 是预编译的SQL语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句可以包含动态的参数 “ ?”,执行时可以为“ ? ”动态设置参数值。 使用PreparedStatement对象执行sql时,sql语句被数
java 防sql preparedstatement_PreparedStatement是如何防止SQL注入的?
weixin_32323465的博客
02-26 198
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。首先我们来看下直观的现象(注:需要提前打开mysqlSQL文日志)1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)String param = "'test' or 1=1";String sql = "sel...
Statement和PreparedStatement --- 防止sql注入
my_momo_csdn的博客
03-13 1726
一、SQL注入 这两者的区别有好几点,比如预编译,防止sql注入是其中最大的一点,这里通过几个例子和简单的解析来探究PreparedStatement是如何防止sql注入的。 二、数据库记录如下: id playName playNo team 1 Kobe Brayent 8 laker 2 Lebron James 23 laker 3 Tim Duncan 21 ...
数据库连接中使用PreparedStatement预编译防止SQL注入
北京Java青年
06-13 1340
//使用预编译不需要对SQL语句进行拼接,而是使用?占位符,因此可以防止SQL注入,提升了安全性。 1.提高代码可读性和可维护性 2.提高sql语句执行性能 3.提高安全性PreparedStatement pst=new PreparedStatement(); String sql=”select * from user2 where name=?” String userName=”li
2.JDBC的使用--查询数据
qq_67192586的博客
04-11 442
JDBC查询
在Java中PreparedStatement可以有效防止SQL注入,而Statement却不行呢?
weixin_64688211的博客
12-30 232
SQL注入问题
java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!!
iteye_6274的博客
03-02 525
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try {...
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5869
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 String
JAVA中防止SQL注入(使用PreparedStatement 方案)
wanggp
10-28 143
     SQL注入攻击是利用是指利用设计上的漏洞在目标服务器上运行Sql语句以及 进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。    对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement 是无效的这是因为PreparedStatement不允许在不同的插入时改变查询的逻辑结构。      如验证用...
第三方框架预防sql注入
最新发布
09-23
第三方框架可以采取以下措施来预防SQL注入: 1. 使用ORM(对象关系映射)框架:ORM框架可以自动将对象与数据库表进行映射,从而避免了手动编写SQL语句的过程,减少了SQL注入的风险。 2. 使用预编译语句:许多第三...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极客李华

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值