JDBC和sql注入

已于 2022-08-20 12:27:42 修改
阅读量259 收藏
点赞数
文章标签: sql java 数据库
于 2022-08-20 12:22:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755636/article/details/126436448
版权
本文介绍了JDBC,它是Java连接数据库的标准,包括其作用、好处和四个核心对象。详细阐述了JDBC操作步骤,并对比了PreparedStatement和Statement的区别,强调了PreparedStatement在防止SQL注入上的优势。接着解释了SQL注入的概念、原理和危害,并通过实例展示了如何防止SQL注入,最后总结了学习JDBC和SQL注入防护的重要性。
摘要由CSDN通过智能技术生成

目录

JDBC介绍

JDBC全称是Java Database Connectivity(java数据库连接),是java连接数据库的标准和规范

JDBC的作用

用于执行SQL语句的Java API(Java语言通过JDBC可以操作数据库)。

JDBC的好处

  • 使用简单,只需要会调用JDBC中的方法即可。
  • 使用同一套Java代码,进行少量的修改就可以访问其他的JDBC支持的数据库。

JDBC四个核心对象

  • DriverManager:驱动管理(驱动的注册,打开连接)
  • Connection:表示与数据库创建的连接(控制连接,处理事务)
  • PreparedStatement:设置参数,执行sql语句
    :PreparedStatement和Statement的联系与区别?
    联系:两者都是处理器对象,都是负责执行SQL语句,PreparedStatement是Statement的子接口,拥有更丰富的API
    区别:PreparedStatement可以防止SQL注入,Statement不可以
  • ResultSet:结果集(封装了查询语句中返回的所有数据)

JDBC操作步骤

  1. 导入驱动包

JDBC会用到的包:

  • java.sql:JDBC访问数据库的基础包,在JavaSE中的包。如:java.sql.Connection

  • javax.sql: JDBC访问数据库的扩展包

导入成功效果图
在这里插入图片描述

  1. 加载驱动

第一种方式

     //版本8.xxx    com.mysql.cj.jdbc.Driver
     //版本5.xxx    com.mysql.jdbc.Driver
     Class.forName("com.mysql.cj.jdbc.Driver"); //只加载一次(推荐使用)

第二种方式

//     DriverManager.registerDriver(new Driver());//加载了两次,Driver里面有静态代码块,new了之后类加载完就加载了一次,外面的api方法又加载了一次

第三种方式

  //3.不显示加载驱动类(jar包里面有默认路径,也就是第一种)

就是如果所示这个依赖包的配置文件,有的jar包没有该文件
在这里插入图片描述
在这里插入图片描述

  1. 获得连接
connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbc?serverTimezone=UTC", "root", "root");
  1. 获取预处理器对象(获得执行sql语句的对象)
PreparedStatement preparedStatement = connection.prepareStatement("insert into t_user(id,name) values (?,?)");
  1. 设置参数
//            setInt(第几个参数,值);
        preparedStatement.setInt(1,1);
        preparedStatement.setString(2,"杜甫");

        preparedStatement.setInt(1,2
最低0.47元/天 解锁文章
浊氿°
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBCSQL注入
qq_46093575的博客
05-16 227
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库
JDBCSQL注入
Thumb_的博客
02-22 171
-- 创建一张表 CREATE TABLE admin( name VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '' )CHARACTER SET UTF8; -- 添加数据 INSERT admin VALUES('tom', '123'); -- 查找某个管理是否存在 SELECT * FROM admin WHERE name = 'wy' AND pwd = '123'; -- SQL -- 输入用户名 为 1'.
JDBCSQL注入
weixin_45600855的博客
03-28 134
JDBCSQL注入JDBC的简单介绍简介核心组件SQL注入解决办法PreparedStatement(预状态通道) JDBC的简单介绍 简介 JDBCJava DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多 种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可 以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序 核心组件 DriverManager : 此类管理数据库驱动程序
JDBCSQL注入漏洞
m0_47649585的博客
08-10 228
使用PreparedStatement对象代替Statement对象执行SQL,该对象可以预编译SQL语句,固定SQL的格式和关键字,用?占位符表示传递的数据,后期设置数据即可。
jdbc——sql注入
m0_72960906的博客
10-31 956
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
jdbc连接和sql注入
06-13
java连接mysql,和mysql语句注入检查,简单程序,需要自己提供数据库
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入。防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
JDBCsql注入的安全性问题
William_GJIN的博客
03-06 404
sql注入的安全性问题 在使用 Statement 类执行 sql 对象时,拼接的 sql 语句可能会有特殊关键子参与字符串拼接,造成数据库信息泄露等问题。 使用 Statement 类的 sql 语句格式: String sql = "select *from admin where name = '"+username+"' and password = '"+password+"'"; 当...
JDBC中的SQL注入
Leessang
05-22 914
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。 1.2 S
JDBCSQL注入漏洞分析及解决
weixin_62336297的博客
07-01 223
注入漏洞解决
JDBCSQL注入漏洞分析和解决
学亮编程手记
01-26 407
SQL注入漏洞分析 SQL注入漏洞解决 需要采用PreparedStatement对象解决SQL注入漏洞。这个对象将SQL预先进行编译,使用?作为占位符。?所代表内容是SQL所固定。再次传入变量(包含SQL的关键字)。这个时候也不会识别这些关键字。 public class UserDao { public boolean login(String username,String...
测试左移 使用Find Security Bugs检查代码安全问题
liwenxiang629的博客
05-18 3153
Find Security Bugs 是SpotsBug的插件,他主要用来做web和android应用的代码安全测试。目前可以检测出 141 种不同类型的安全漏洞。它支持大量的使用主流的框架和库的代码检测,如包括 Spring-MVC,Struts,Tapestry等,并可以与 IDE 集成,可用于 Eclipse,IntelliJ,Android Studio 和 NetBeans 中的 findbug并提供命令行接口以便用于 maven 和 ant,支持与 Jenkins 和 SonarQube 等..
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6180
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBC原生编程以及SQL注入详解
fath_kevin的博客
07-29 977
   SQL注入;          一SQL注入:通过在Web表单中输入(恶意)SQL语句而连接到一个存在安全漏斗的网站上的数据库,而不是按照设计者意图去执行SQL语句;            例如: String username="hello' or 1='1"; String password ="123456"; String sql=” "SELECT * FROM t_...
jdbc中的sql注入
a8153285的博客
04-23 243
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
jdbc sql注入
最新发布
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据中注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值