#JDBC_演示SQL注入现象(解决SQL注入现象)

最新推荐文章于 2024-10-15 08:30:00 发布
最新推荐文章于 2024-10-15 08:30:00 发布
阅读量119 收藏
点赞数
分类专栏: JAVA_JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53239252/article/details/126182044
版权

SQL注入 PreparedStatement 预编译 安全 数据库操作
关键词由CSDN通过智能技术生成

#JDBC_演示SQL注入现象(解决SQL注入现象)

package com.snailxq.jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;
/**
 *解决SQL注入现象:
 *    只要用户提供的信息不参与SQL语句的编译过程,问题就解决了
 *    即使用户提供的信息中含有SQL语句的关键字,单没有参与编译,不起作用。
 *    要想用户的信息不参与SQL的编译,必须使用java.sql.PreparedStatement
 *    PreparedStatement继承了java.sql.Statement接口
 *    PreparedStatement是属于预编译的数据库操作对象。
 *    PareparedStatement原理:预先对SQL语句的框架进行编译,然后给SQL语句传“值”。
 *对比一下Statement和PreparedStatement?
 *   -Statement存在SQL注入现象,PreparedStatement解决了SQL注入现象。
 *   -Statement是编译一次执行一次,PreparedStatement编译一次,执行N次。
 *   -PreparedStatement在编译阶段做安全检查。
 * PreparedStatement使用较多,只有极少数情况下使用Statement
 * 什么情况下使用Statement?
 * 业务方面使用SQL注入的时候。如:按照价格排序,销量。
 */


public class JDBCTest07 {

    public static void main(String[] args) {
        //初始化一个界面
        Map<String,String> userLoginInfo = initUI();
        //验证用户名和密码
        boolean loginSuccess = login(userLoginInfo);
        //输出结果
        System.out.println(loginSuccess ? "登录成功":"登录失败");


    }

    /**
     * 用户登录
     * @param userLoginInfo 用户登录信息
     * @return
     */
    private static boolean login(Map<String, String> userLoginInfo) {
        // 打标记
        boolean loginSussess =false;
        //单独定义变量
        String loginName =userLoginInfo.get("loginName");
        String loginPwd =userLoginInfo.get("loginPwd");

        Connection connection =null;
        PreparedStatement preparedStatement= null;  //这里使用PreparedStatement(预编译的数据库操作对象)
        ResultSet resultSet = null;
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/everours","root","333");
            //3.获取预编译数据库连接对象
            //SQL语句的框架,一个?表示一个占位符,一个?将来接受一个“值”,注意占位符不能用单引号括起来。
            String sql ="select * from t_user where loginName= ? and  loginPwd = ? ";
            //程序执行到此处的时候,会发送SQL语句的框子给DBMS,然后DBMS进行SQL语句的预先编译
            preparedStatement =connection.prepareStatement(sql);
            //给占位符?传值。(第一个问号是下标是1,第二个问号下标是2,JDBC所有的下标从1开始)
            preparedStatement.setString(1,loginName);
            preparedStatement.setString(2,loginPwd);

            //4.执行SQL


            resultSet =preparedStatement.executeQuery();
            //5.处理结果集
            if (resultSet.next()){
                loginSussess=true;
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            //6.释放结果集
            if (resultSet !=null){
                try {
                    resultSet.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (preparedStatement !=null){
                try {
                    preparedStatement.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }if (connection !=null){
                try {
                    connection.close();
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
        return  loginSussess;
    }

    private static Map<String, String> initUI() {
        Scanner s= new Scanner(System.in);

        System.out.print("用户名:");
        String loginName=s.nextLine();

        System.out.print("密码:");
        String  loginPwd=s.nextLine();

        Map<String,String> userLoginInfo =new HashMap<>();
        userLoginInfo.put("loginName",loginName);
        userLoginInfo.put("loginPwd",loginPwd);

        return userLoginInfo;

    }
}
qq_53239252
关注
专栏目录
JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JDBC如何防止SQL注入
qf2019的博客
08-25 2231
JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何防止SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
jdbcsql注入
林高禄
06-24 9017
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
jdbc-- StatementSQL注入演示
qq_43619461的博客
11-05 117
StatementSQL注入演示 解决方案: preparedStatement 测试用户名: 1' or 测试密码: or '1'='1 // StatementSQL注入演示 @Test public void statementSqlDemo() throws ClassNotFoundException, InstantiationException, IllegalAccessException, SQLException, IOException {
JDBCSQL注入攻击演示解决方法
Java Island
09-27 948
SQL注入攻击与解决方案 Statement PreparedStatement
SQL注入演示
zhansan的博客
03-19 1425
2种SQL注入演示,不知道密码也可以登录 -- 正常登录 select * from login1 where username ='zhangsan'and password = '123' -- 用户名任意,密码输入: ' or '1'='1 select * FROM login1 where username = 'xyz' and password = '' or '1'='1' -- 用户名zhangsan已知的情况下,用户名输入: zhangsan' -- (zhangsan' 空格--空格)
java jdbc连接数据库以及sql注入演示与防止
lmsnice的博客
09-15 456
jdbc连接数据库 一、无法防止sql注入 package com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; import com.sun.java_cup.internal.runtime.Symb
(java)JDBC_example.rar_JDBC例子_jdbc_jdbc Java
09-19
- 使用PreparedStatement代替Statement,可以防止SQL注入,提高性能。 - 使用连接池管理数据库连接,如C3P0、HikariCP等,以提高系统效率。 - 使用批处理操作批量执行SQL,减少网络交互次数。 5. **JDBC的挑战与...
jdbc_data.rar
05-27
`PreparedStatement`用于防止SQL注入并提高性能。 4. **结果集处理**:如何遍历和处理`ResultSet`,提取查询结果。 5. **事务管理**:了解JDBC中的事务控制,如`Connection.setAutoCommit()`关闭自动提交,`...
springjdbc.zip_SpringJDBC_spring jdbc_spring 增删改查_springjdbc xml
09-20
7. **参数绑定**:在SQL语句中,我们可以使用问号作为占位符,然后通过`SqlParameterSource`或`Map`对象来传递参数,避免SQL注入。 8. **异常处理**:Spring JDBCJDBC的异常转换为Spring的`DataAccessException`...
为何JDBC中的prepareStatement可以防止SQL注入
qq_43872529的博客
07-01 842
首先介绍一下SQL注入 SQL注入可以理解为通过添加恶意字段使得程序传入的SQL语句的语义发生改变,例如在登录账号并输入用户名之后添加注释符,使得后续的SQL语句失效,无需验证密码就可以进入系统;又或者在查询数据时添加or '1'='1'语句,可以获取数据库中的所有信息。 1、那么为何会出现这种情况呢? 这种情况主要是因为查找功能采用的是字符串拼接方法,使得前台传入的参数直接拼接到SQL语句中,然后通过statement直接执行该SQL语句,即使存在恶意字段,它也无法检测出来。 //字符串拼接方法 pu.
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2997
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
解决Cannot invoke “java.sql.Connection.prepareStatement(String)“because “this.conn“ is null
热门推荐
holyMMoo的博客
11-14 3万+
Cannot invoke “java.sql.Connection.prepareStatement(String)“because “this.conn“ is null 在进行数据库连接时,我们可能会出现这样的报错情况,如果代码没有问题的话,一般是你的connector jar包太老了,需要重新导入8以上的版本。 如果发现自己的connector jar包已经是8以上版本也要检查一下,我之前在做一个小程序的时候也遇到了这个“this.conn“ is null问题,自己的connector jar是
PreparedStatement接口,prepareStatement方法
he_hchx的专栏
04-26 8544
1、public interface PreparedStatementextends Statement表示预编译的 SQL 语句的对象。 SQL 语句被预编译并且存储在 PreparedStatement 对象中。然后可以使用此对象高效地多次执行该语句。 注:用来设置 IN 参数值的 setter 方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类型兼
Type mismatch: cannot convert from java.sql.PreparedStatement to com.mysql.jdbc.PreparedStatement
weixin_34082854的博客
02-09 1238
Connection.prepareStatement()函数出错,提示: Type mismatch: cannot convert from java.sql.PreparedStatement to com.mysql.jdbc.PreparedStatement 这是因为引入的包不对头, import com.mysql.jdbc.PreparedStatement; impo...
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
XRN的博客
05-20 3万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
PostgreSQL学习笔记:PostgreSQL vs MySQL
最新发布
软件行业技术文化交流。
10-15 1158
综上所述,PostgreSQL 和 MySQL 各有优缺点,选择哪种数据库取决于具体的应用场景和需求。如果需要处理复杂的数据类型、强大的事务支持和高级的查询功能,PostgreSQL 可能是更好的选择。如果对写入性能和简单易用性有较高要求,MySQL 可能更适合。在实际应用中,可以根据具体情况进行评估和测试,选择最适合的数据库管理系统。两者都有商业公司提供支持服务。例如,MySQL 有 Oracle 公司的商业支持,PostgreSQL 有多家公司提供专业的支持和服务。
JDBC高级:Statement查询SQL数据详解
这个例子展示了如何在JDBC高级操作中使用`Statement`执行SQL查询,包括连接管理、SQL语句构建、结果集处理以及资源的妥善关闭,防止SQL注入风险。此外,它还演示了元数据(如字段名)的获取,以及如何将查询结果映射...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值