java-jdbc7:PreparedStatement类防止sql注入

最新推荐文章于 2023-06-07 20:29:27 发布
最新推荐文章于 2023-06-07 20:29:27 发布
阅读量212 收藏
点赞数
文章标签: java sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60495979/article/details/128212487
版权

上一篇中我们登录随便输入用户名,密码为a' or 'a'='a 时,则能登录成功。

 为了解决这个问题,我们引入了PreparedStatement类

 

package cn.JdbcUtil;

import cn.JdbcTest4;

import java.sql.*;
import java.util.Scanner;

/* 1.登录sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
        用户名随意输入:qwerasdc,密码输入a' or 'a' = 'a
        此时的sql为:"select * from user where username = '"+username+"' and password = '"+password+"' "
        select * from  user where username ='qwerasdc' and and password = 'a' or 'a' = 'a' 则登录成功
 *2.PreparedStatement:执行sql的对象
    通过预编译sql:参数使用?作为占位符
    如:select * from user where username = ? and password = ?;
 *
 */
public class JdbcTest5 {
    /*
     * 登录方法
     */
    public static void main(String[] args) {
        //7.键盘录入,接收用户名和密码
        Scanner sc = new Scanner(System.in);
        System.out.println("请输入用户名");
        String username = sc.nextLine();
        System.out.println("请输入密码");
        String password = sc.nextLine();
        //8.调用方法
        boolean flag = new JdbcTest5().Login2(username,password);
        //9.判断结果,输出不同语句
        if (flag) {
            System.out.println("登录成功");
        } else { //登录成功
            System.out.println("用户名或密码错误");
        }
    }
    Connection con = null;
    PreparedStatement prep  = null;
    ResultSet re = null;
    public boolean Login2(String username,String password) {
        if(username == null || password == null) {
            return false;
        }
        // 连接数据库判断是否成功
        try {
            //1.获取连接
            //工具类报空指针异常,就不用连接方式
            con = DriverManager.getConnection("jdbc:mysql://localhost:3306/test","root","newpassword") ;
            //2.定义sql
            String sql="select * from user where username = ? and password = ? ";
            //3.执行sql对象
            prep = con.prepareStatement(sql);
            //给?赋值,分别时第一和第二个?
            prep.setString(1,username);
            prep.setString(2,password);

            //4.执行查询,选择空参的方法
            re = prep.executeQuery();
            //5.判断
//            if(re.next()) {  //如果有下一行,返回true
//                return true;
//            }else{
//                return false;
//            }
            return re.next();
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            //6.释放资源
            JDBCUtils.Close(re,prep,con);
        }
        return false;

    }
}

******************************************

最后测试登录

这样就能防止sql注入的问题了。 

雨停了,人走了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-jdbc-tips:Spring JDBCSQLJava
01-28
同时,Spring JDBC支持使用`PreparedStatement`来防止SQL注入,提高代码安全性。 此外,Spring JDBC还提供了异常处理机制。当数据库操作出错时,会抛出`DataAccessException`子异常,如`SQLException`,这使得...
【运维】PreparedStatement防止SQL注入
最新发布
weixin_37543485的博客
09-15 484
参数化查询是编写安全数据库代码的最佳实践之一。
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1205
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 667
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,javaJDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预SQL注入...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1556
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2589
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
helloworld-java-jdbc:java jdbc 基础
06-13
Statement和PreparedStatement用于发送SQL语句到数据库,后者支持预编译的SQL,提高安全性并降低SQL注入风险;ResultSet则用于存储查询结果,可以遍历获取数据。 连接数据库的步骤通常包括以下几步: 1. 加载数据库...
Java-JDBC:Estudo Sobre JDBC
02-08
Java JDBCJava Database Connectivity)是Java编程语言中用于与各种数据库进行交互的一组接口和。它是Java标准版(Java SE)的一部分,允许开发者在Java应用程序中执行SQL语句,从而实现数据的增删改查操作。...
JDBC-example-in-Java:JDBC应用程序
06-20
PreparedStatement对于防止SQL注入更安全,也更适合多次执行相同查询的情况。 4. **执行SQL查询**:使用Statement对象的`executeQuery()`或`executeUpdate()`方法来执行SELECT、INSERT、UPDATE或DELETE语句。`...
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
JDBC | 第三章: SQL预编译与注入CRUD操作
qq_39449880的博客
02-14 1795
SQL预编译与注入CRUD操作
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1443
PreparedStatement对象解决sql注入问题
JDBC-防止SQL注入
m0_63144452的博客
10-25 979
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 670
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
通过PreparedStatementSQL注入
jakelihua
11-25 616
简介:本文只讲PreparedStatementSQL注入的写法,大家学会就好。..
以mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9779
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
JDBCsql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 773
JDBCsql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5382
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1475
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
Java JDBC指南:PreparedStatement与批处理操作
特别地,文档提到了PreparedStatement接口,它是预编译的SQL语句,能有效防止SQL注入,提高性能。通过setInt方法设置参数,然后使用addBatch添加到批处理作业,最后调用executeBatch执行批处理。最后,别忘了在操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值