关于prepareStatement可以防止SQL注入的理解

已于 2023-08-07 17:04:58 修改
阅读量269 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: web安全 文章标签: 安全
于 2022-03-20 21:29:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51524329/article/details/123621973
本文详细介绍了PreparedStatement在数据库操作中的两个关键作用:预处理功能可以提高执行相同SQL语句但参数变化的效率,而防止SQL注入则通过参数化处理确保数据安全。通过预编译SQL和参数化查询,PreparedStatement能够有效避免恶意数据作为代码执行,从而保障系统安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

prepareStatement的两个作用:

1. 预处理功能,在多次执行相同的SQL语句并且只是更换了参数(例如表名,字段名)的情况可以大幅提高执行效率;

例如: 

    select name from table_student.

    select sex from table_student.

    select number from table_teacher.

类似的语句多次执行,这样的情况就可以通过preparestatement简化为select ? from ?,然后后面填参数替换掉符号?   当然这只是提高效率,重点介绍第二条。


2. 杜绝SQL注入的风险

简单介绍一下SQL注入的原理:


那么我们如何防止呢,prepareStatement的作用就是将上图中的 Name, Password, Corp参数化处理,那么就要将服务器端代码改为如下的样子:

    String sql = "select * from Table where name =? and Password = ? and Corp = ? ";  

    PreparedStatement prep = conn.prepareStatement(sql);  

    prep.setString(1, name_input);  

    prep.setString(2, pwd_input);  

    prep.setString(3, corp_input);  

    ResultSet rst = prep.executeQuery();  

原理,SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析和编译,对应的执行计划也会缓存下来,之后数据库就会以参数化的形式进行查询。

当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如上图中 or '1=1',它也会作为一个字段的值来处理,而不会作为一个SQL指令。

从根本上讲,其实就是data VS. code的问题,确保data永远是data,不会是可执行的code,就永远的杜绝了SQL注入这种问题。

关于prepareStatement可以防止SQL注入的理解

参考博客:

http://blog.csdn.net/chenleixing/article/details/44024095

http://blog.csdn.net/daijin888888/article/details/50965232

https://www.cnblogs.com/hkncd/archive/2012/03/31/2426274.html

《网络安全自学教程》- 预编译防止SQL注入的原理分析
wangyuxiang946的博客
08-16 1万+
SQL执行过程,预编译原理,预编译如何防止SQL注入?预编译的局限性
防止sql注入demo
07-12
在IT行业中,SQL注入是一种常见的安全威胁,攻击者通过输入恶意的SQL代码,欺骗数据库执行非预期的操作,从而获取敏感信息或...这个"防止SQL注入demo"提供了一个实践案例,帮助开发者更好地理解和实施这些防护策略。
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 728
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1672
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
为什么preparestatement能够防止sql注入
weixin_33701564的博客
04-10 727
2019独角兽企业重金招聘Python工程师标准>>> ...
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 416
preparement避免sql注入
PerparedStatement防止SQL注入
weixin_57219176的博客
08-09 254
PerparedStatement防止SQL注入
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
此外,PrepareStatement还能够防止SQL注入攻击,因为它允许我们使用占位符(?)来代替直接拼接字符串。 在描述中提到的基本查询和更新场景中,我们可以使用PreparedStatement的`setXXX()`方法设置参数,其中XXX代表...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
防止SQL注入dbq
04-06
通过阅读和理解这段代码,开发者可以更好地掌握防止SQL注入的方法,并将其应用到自己的项目中。 总之,防止SQL注入是开发安全应用程序的重要环节。开发者应当采用预编译语句、参数化查询、输入验证等多层防御策略,...
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
CSDN 精品推荐
12-22 310
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 1384
Java项目防止SQL注入的几种方案
【略有料】Statement和PreparedStatement的区别; 什么是SQL注入,怎么防止SQL注入
daobuxinzi的博客
10-18 294
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。那么CallableStatement扩展了PreparedStatement的接口,用来调用存储过程,它提供了对于输入和输出参数的支持,CallableStatement 接口还有对 PreparedStatement 接口提供的输入参数的sql查询的支持。问题三:Spring中的事务是如何配置的?
Statement和PrepareStatement方法针对SQL注入式攻击的实例
光老弟的博客
08-19 757
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的。
[实践总结] Java 防止SQL注入的四种方案
张紫娃的博客
08-28 1576
当 id 传值为 1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重。
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 3068
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
使用PreparedStatement防止SQL注入
2401_85045690的博客
10-16 508
防止SQL注入的关键是使用参数化查询,其中是JDBC中提供的一个非常有用的工具。以下是一些基本的步骤和代码示例,展示如何使用来防止SQL注入
如何防止SQL注入
weixin_61898502的博客
09-22 968
用户输入的数据中有SQL关键词,导致在执行SQL语句时出现一些不正常的情况.这就是SQL注入!出现SQL注入是很危险。
防止SQL注入
最新发布
07-11
这是一个关于防止SQL注入攻击的查询。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式,但这个问题是关于SQL注入的,可能不涉及数学表达式,所以我可以忽略数学部分,除非必要。 - 独立公式必须使用$$....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值