3.防止sql注入问题,利用PreParedStatement解决

已于 2022-04-11 23:13:27 修改
阅读量462 收藏
点赞数
分类专栏: Java_JDBC 文章标签: java
于 2022-04-11 22:50:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67192586/article/details/124111889
版权

 

public static void main(String[] args){
        Connection con = null;
        PreparedStatement ps = null;
        try {
            // 从键盘录入账号密码:
            Scanner sc = new Scanner(System.in);
            System.out.println("账号");
            String name = sc.nextLine();
            System.out.println("密码");
            String pwd = sc.nextLine();

            // JDBC步骤:
            // 1.加载驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            System.out.println("加载驱动成功");
            // 2.获取连接
            con = DriverManager.getConnection("jdbc:mysql:///studet?useUnicode=true&characterEncoding=utf8","root","root");
            System.out.println("获取连接成功");
            // 3.创建会话 -- 预编译
            ps = con.prepareStatement("SELECT * FROM T_USER WHERE username =? AND PASSWORD=?");
            System.out.println("创建会话成功");
            // 4.设置?的值,并且执行:
            ps.setString(1,name);
            ps.setString(2,pwd);
            ResultSet rs = ps.executeQuery();// ResultSet 结果集
            System.out.println("发送sql成功");
            if (rs.next()) {  // 有且只有一条用if  多条用while
                System.out.println("欢迎您" + name + ",登陆成功!");
            }else{
                System.out.println("对不起,您登陆的账号或密码错误,登陆失败!");
            }
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally{
            // 6.关闭数据库资源
            try {
                if (ps != null){
                    ps.close();// 避免空指针异常
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
            try {
                if (con != null){
                    con.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

银行转账案例讲解事务问题 

public static void main(String[] args){
        Connection con = null;
        Statement sta = null;
        try {
            // JDBC步骤:
            // 1.加载驱动
            Class.forName("com.mysql.cj.jdbc.Driver");
            System.out.println("加载驱动成功");
            // 2.获取连接
            con = DriverManager.getConnection("jdbc:mysql:///studet?useUnicode=true&characterEncoding=utf8","root","root");
            System.out.println("获取连接成功");
            // 3.创建会话
            sta = con.createStatement();
            // 4.发送sql,执行
            // 将事务的自动提交取消/关闭
            con.setAutoCommit(false);
            sta.executeUpdate("update t_account set balance = balance - 500 where id = 1");
            sta.executeUpdate("update t_account set balance = balance + 500 where id = 2");
            // 手动提交事务,将上面的逻辑全部控制在一个事务当中
            con.commit();
            System.out.println("发送sql成功");

            // 4.处理结果
            System.out.println("处理成功");
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }finally{
            // 6.关闭数据库资源
            try {
                if (sta != null){
                    sta.close();// 避免空指针异常
                }
            } catch (SQLException e) {
                try {
                    // 回滚事务
                    con.rollback();
                } catch (SQLException ex) {
                    ex.printStackTrace();
                }
                e.printStackTrace();
            }
            try {
                if (con != null){
                    con.close();
                }
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2.JDBC的使用--查询数据
qq_67192586的博客
04-11 445
JDBC查询
JDBC java对MySQL数据库进行查询操作,并把查询的结果输出
热门推荐
baidu_39137769的博客
07-16 2万+
Resultset中的所有数据都可以通过getString()方法取得 String是可以接收表中的任意类型列的内容,所以在以下的程序中全部都使用getString()接收 package JDBC; import java.sql.*; public class MySQLquery { public static final String DRIVER = "com.mysql.
Java使用JDBC获取数据并打印出来
施勇
09-28 1万+
JDBC代表Java数据库连接,这对Java编程语言和广泛的数据库之间独立于数据库的连接标准的Java API。JDBC API提供了以下接口和类: |DriverManager| 这个类管理数据库驱动程序的列表。内容是否符合从Java应用程序使用的通信子协议正确的数据库驱动程序的连接请求。识别JDBC在一定子协议的第一个驱动器将被用来建立数据库连接。| |Driver|此接口处理与数据库服务器
DS调度出现 SQL task prepareStatementAndBind error 错误
最新发布
zxcvbnm0207的博客
01-03 1184
又在GitHub上问题查询得到可能是 "hive.server2.thrift.max.worker.threads" and "hive.metastore.client.socket.timeout"这两个的配置问题。hive.server2.thrift.max.worker.threads:在这里我将DS阈值设置到了1000,原来是500,因为可能跑的脚本多了,资源不释放什么的,调整完成之后保存重启。在对以上两个配置调整完成之后,完美的解决了DS跑脚本出错的问题。修改配置之后,都客户以执行成功。
JDBC查询所有记录打印到控制台上
Aseveng的博客
11-30 4411
package cn.itcast.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Properties; imp
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
java持久层框架mybatis防止sql注入的方法
09-01
因此,了解并实施防止SQL注入的方法对于保障应用程序的安全至关重要。 MyBatis提供了多种机制来防止SQL注入,其中最常用且有效的一种是使用预编译的SQL语句,即PreparedStatement。在MyBatis中,我们通常使用`#{}`...
如何防止sql注入
12-14
使用PreparedStatement防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不会导致SQL语句的...
sql注入解决方法.doc
12-29
验证和过滤用户输入是防止SQL注入的关键步骤。应用白名单验证,限制输入长度和类型,并对特殊字符进行转义或编码,防止它们被解释为SQL代码。 5. **错误消息泄露**: 公开的错误消息可能揭示数据库结构和敏感信息...
使用JDBC的预编译方法prepareStatement时报错:sql语法错误
weixin_65920414的博客
02-14 2965
初学preparestatement预编译出现的报错
sql2005 关闭prepareStatement对象时错误,超出了存储过程、函数、触发器或视图的最大嵌套层数...
zhangshufei的博客
03-04 268
今天早晨部署工程时,偶然间点了一下自己所做的一个利用存储过程导出Excel文件的按钮,查看了一下Tomcat,发现报了一个“关闭prepareStatement对象时错误,超出了存储过程、函数、触发器或视图的最大嵌套层数(最大层数为32)”,百思不得其解,上网找度娘,发现有的大神说是定义存储过程时,最后一句话少了一个go字,于是查看了一下自己的存储过程,哈哈,不太一样,我的存储过程多了一句exec...
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4164
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2948
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
Preparestatement解决sql注入安全问题
qq_75222206的博客
07-11 351
【代码】Preparestatement解决sql注入安全问题
GBASE 8A v953报错集锦23--多 sql 任务并发操作报错 get cluster task id fail
ls_hong的博客
07-01 344
gbase,南大通用
sql注入
musi_m的博客
06-14 1084
sql注入1 sql注入2 防止sql注入    2.1使用prepareStatement+Bind-Variable    2.2 使用应用程序提供的转换函数    2.3 自定义函数校验 1 sql注入 SQL注入就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的,如下实例: 1)创建用户表 create table
dolphinscheduler调度常见问题
Azoner的博客
04-19 964
问题一:每日调度随机出现以下报错,但可通过多次重试执行成功 两种报错: TTransport:SocketTimeout:Read time out SQL task prepareStatementAndBind 分别对应以下bug [Bug] [Task] SQL task prepareStatementAndBind error · Issue #10540 · apache/dolphinscheduler · G
3.什么是SQL注入
07-20
SQL注入是一种常见的安全漏洞,它发生在应用程序未能正确过滤或转义用户输入的数据,并将其直拼接到SQL查询语句中的情况下。攻击者可以通过恶意构造的输入,将额外的SQL代码注入到原始查询中,从而执行未经授权的操作或绕过应用程序的安全机制。 SQL注入的攻击原理是利用输入的数据改变SQL查询的结构,使得查询产生意外的结果。常见的攻击方式包括: 1. 布尔盲注:通过构造布尔表达式,根据应用程序对查询结果的不同响应来判断是否存在漏洞。 2. 时间盲注:通过构造延时操作,根据应用程序对查询响应时间的不同来判断是否存在漏洞。 3. 错误信息泄露:通过构造错误的查询,使得应用程序返回详细的错误信息,从而获取有关数据库结构或其他敏感信息。 4. 逻辑错误利用:通过利用应用程序中存在的逻辑错误,修改查询语句或绕过验证,执行未经授权的操作。 为了防止SQL注入攻击,开发人员应采取以下措施: 1. 使用参数化查询或预编译语句(PreparedStatement),而不是直接拼接用户输入到SQL语句中。 2. 对所有输入进行合适的验证和过滤,确保输入的数据符合预期的格式和类型。 3. 对用户输入进行转义,将特殊字符转换为安全的文本表示形式。 4. 最小化数据库用户的权限,仅授权给应用程序所需的最低权限。 5. 定期更新和维护数据库系统,以修复已知的漏洞和安全问题。 通过采取这些防护措施,可以有效地减少SQL注入攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值