通过PreparedStatement预防SQL注入

已于 2023-09-14 09:00:44 修改
阅读量611 收藏 3
点赞数
分类专栏: 数据库学习与提升 Java基础实验 文章标签: sql 数据库 mysql
于 2022-11-25 10:08:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51447496/article/details/128032906
版权

通过PreparedStatement预防SQL注入

简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。
推荐学习路线JDBC数据库的连接->Connection(数据库连接对象)->Driud数据库连接池的使用->ResultSet->通过PreparedStatement预防SQL注入->JDBC增删改查案例讲解 大家跟着敲完基本就可以JDBC基础毕业了。

数据库表格

在这里插入图片描述

学习代码

import java.sql.*;


public class JDBCDemo {

    public static void main(String[] args) throws Exception {
        //1. 注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2. 获取连接
        // String url = "jdbc:mysql://127.0.0.1:3306/books"; // 如果是mysql5这样写
        String url = "jdbc:mysql://localhost:3306/db?serverTimezone=GMT%2B8&useOldAliasMetadataBehavior=true"; // 如果是mysql8这样写
        String username = "root";
        String password = "12345";

        Connection conn = DriverManager.getConnection(url, username, password);

        // 接收用户输入 用户名和密码
        String name = "admin";
        String pwd = "12345";
        String sql = "select * from users where username = ? and userpwd = ?";
        // 获取pstmt对象
        PreparedStatement pstmt = conn.prepareStatement(sql);

        // 设置?的值
        pstmt.setString(1, name);
        pstmt.setString(2, pwd);
        System.out.println(pstmt); // 查看最后拼接的sql语句是啥

        // 执行sql
        ResultSet rs = pstmt.executeQuery();
        // 判断登录是否成功
        if(rs.next()){
            System.out.println("登录成功~");
        }else{
            System.out.println("登录失败~");
        }

        //7. 释放资源
        rs.close();
        pstmt.close();
        conn.close();
    }
}

运行结果
在这里插入图片描述

语法解析

PreparedStatement概述

PreparedStatement作用:

  • 预编译SQL语句并执行:预防SQL注入问题

  • 获取 PreparedStatement 对象

    // SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and password = ?";
// 通过Connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.prepareStatement(sql);

  • 设置参数值

    上面的sql语句中参数使用 ? 进行占位,在之前之前肯定要设置这些 ? 的值。

    PreparedStatement对象:setXxx(参数1,参数2):给 ? 赋值

    • Xxx:数据类型 ; 如 setInt (参数1,参数2)

    • 参数:

      • 参数1: ?的位置编号,从1 开始

      • 参数2: ?的值

  • 执行SQL语句

    executeUpdate(); 执行DDL语句和DML语句

    executeQuery(); 执行DQL语句

    注意:

    • 调用这两个方法时不需要传递SQL语句,因为获取SQL语句执行对象时已经对SQL语句进行预编译了。
极客李华
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用PrepareStatement,防止SQL注入
Ant_in_IT的博客
03-11 351
* 模拟sql注入,使用preparedstatment防止sql注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
SQL注入与PreparedStatement
PPDY93的博客
07-30 172
文章目录一.Sql注入二.Statement三.Preparestment四.statement 和 preparedStatement 优缺点 一.Sql注入 利用Statement写一个用户登录,执行的sql将会是: 用户输入用户名:admin 用户输入密码: 123456 后台程序执行 select * from users where uname = ‘admin’ and pwd = ‘123456’ 如果改为如下输入信息 用户输入用户名:’ or 1=1 or ’ 用户输入密码: 12
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 470
参数化查询是编写安全数据库代码的最佳实践之一。
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1148
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 665
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,javaJDBC,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1553
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2580
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
有效防止SQL注入的5种方法总结
09-09
参数化查询是预防SQL注入最有效的方法之一。在Java,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
mysqlsql注入简单测试了解
08-31
SQL注入是一种常见的网络安全漏洞,它发生在应用程序...总之,理解SQL注入的原理并采取相应的预防措施对于保护数据库免受攻击至关重要。开发者需要时刻警惕潜在的注入风险,并采取适当的安全措施来加固他们的应用程序。
防御SQL注入的方法总结
12-15
开发人员应遵循安全编码规范,如OWASP的Secure Coding Practices,这些指导原则有助于在开发过程预防SQL注入和其他类型的攻击。 总之,防御SQL注入需要多层面的策略,包括编程实践、数据库配置、输入验证和使用...
分享一个简单的sql注入
12-16
总之,SQL注入是一种严重的网络安全威胁,需要开发者和系统管理员时刻保持警惕,采取有效的预防措施,以保护数据库和用户信息的安全。通过理解SQL注入的原理、识别潜在的攻击模式,并结合安全编程实践,我们可以大大...
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 668
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9770
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
java-jdbc7:PreparedStatement类防止sql注入
qq_60495979的博客
12-06 210
/* 1.登录sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 用户名随意输入:qwerasdc,密码输入a' or 'a' = 'a 此时的sql为:"select * from user where username = '"+username+"' and password = '"+password+"' " select * from user where username ='qwerasdc' and
JDBC使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5378
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
MySQL--PreparedStatement对象详解(推荐使用)==>防止SQL注入,并且效率更高
天行健 君子以自强不息,地势坤 君子以厚德载物。
03-04 508
PreparedStatement 可以放置SQL注入,并且效率更高。 测试插入 示例: package jdbc.lesson; import jdbc.lesson.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class TestInsert { public st
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 765
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
PreparedStatement能防止sql注入的原理
m0_53328194的博客
05-27 1471
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1082
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:Statement SQL 语句需要 Java 的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
第三方框架预防sql注入
最新发布
09-23
第三方框架可以采取以下措施来预防SQL注入: 1. 使用ORM(对象关系映射)框架:ORM框架可以自动将对象与数据库表进行映射,从而避免了手动编写SQL语句的过程,减少了SQL注入的风险。 2. 使用预编译语句:许多第三...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极客李华

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值