PreparedStatement是如何防止SQL注入的

最新推荐文章于 2022-03-09 17:15:07 发布
最新推荐文章于 2022-03-09 17:15:07 发布
阅读量5.8k 收藏 2
点赞数 1
分类专栏: Mysql JAVA 文章标签: statement sql preparedstatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqhjqs/article/details/47262673
版权
JAVA 同时被 2 个专栏收录
66 篇文章 0 订阅
订阅专栏
Mysql
10 篇文章 0 订阅
订阅专栏

SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。
在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如

            String sql = "select * from t_user where password = ?";
            pt = conn.prepareStatement(sql);
            pt.setString(1, num);  
            rs = pt.executeQuery();

使用PreparedStatement的好处是数据库会对sql语句进行预编译,下次执行相同的sql语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率,如果sql语句只执行一次,以后不再复用。
SQL注入 攻 击 只 对 Statement有效, 对 PreparedStatement 是无效的;
PreparedStatement可以在传入sql后,执行语句前,给参数赋值,避免了因普通的拼接sql字符串语句所带来的安全问题,而且准备sql和执行sql是在两个语句里面完成的,也提高了语句执行的效率 比如单引号会给你加一个转义,加个斜杠。上面的sql语句在数据库里执行就是这样

select * from t_user where password='ddd\' or \'1\'=\'1';

它会把恶意的注入语句预处理为参数

爆米花机枪手
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何防止SQL注入.pdf
04-02
参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,...
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题与解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题与解决、查询...3.SQL注入问题与解决(Statement 、PreparedStatement) 3.1.模拟SQL注入 3.2.PreparedStatement解决 3.3.Statement 与 PreparedStatement 4.完整源码
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 459
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysqlSQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
转!! PreparedStatement是如何防止SQL注入
weixin_30437337的博客
01-04 111
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 655
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
08-07
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(防sql注入方式)
10-01
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能,并且通过PreparedStatement类实现防sql注入
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 661
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
MySQL如何防止SQL注入
热门推荐
小红的布丁的博客
08-04 2万+
       最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!  作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2536
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
prepareStatement 是如何防止SQL注入的?
qq_24192465的博客
01-23 560
String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try { PreparedStatement pset_f = conn.prepareStatement(sql); pset_f.setString(1,inds[j]); pset_f.set...
PreparedStatement防止sql注入的原理
蔡里都傻的博客
09-08 500
1. PreparedStatementStatement 是用来干什么的? PreparedStatementStatement 都可以对sql语句进行编译并返回编译后的标识。 2. PreparedStatement 的优点? 1. 有效防止sql注入。 2. 预编译,比statement执行效率高(一次编译多次执行) 3. 使用参数设置可读性好。 3. 什么是sql注入? 用户在前端页面用输入恶意的sql语句,欺骗服务器执行恶意的sql代码,导致数据库泄漏,这就是sql注入。例
防止SQL注入的五种方法
weixin_30593261的博客
08-19 59
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现...
PreparedStatement(防止SQL注入)
abc98526的博客
03-09 278
PreparedStatement PreparedStatement防止Sql注入的类 本质:把传递进来的参数当作字符进行转义! package com.text; import java.sql.*; public class test72 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载驱动 Class.fo
使用PreparedStatement防止SQL注入
我是一个包子
07-11 600
一条效率差的sql语句,足以毁掉整个应用.Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些. PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的set
java sql注入防止_java - PreparedStatement如何避免或阻止SQL注入
weixin_35346265的博客
02-20 191
要了解PreparedStatement如何阻止SQL注入,我们需要了解SQL Query执行的各个阶段。1.编译阶段。2.执行阶段。每当SQL Server引擎收到一个查询时,它必须通过以下阶段,解析和规范化阶段:在此阶段,将检查Query的语法和语义。 它检查是否引用表和查询中使用的列是否存在。它还有许多其他任务要做,但我们不详细说明。编译阶段:在此阶段,查询中使用的关键字如select,fr...
preparedstatement防止sql
最新发布
03-16
注入攻击的原理是什么? SQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而实现对数据库进行非法操作的一种攻击方式。攻击者通过在输入框中输入特定的字符,使得应用程序将这些字符作为SQL语句的一部分执行,从而达到控制数据库的目的。 PreparedStatement如何防止SQL注入攻击? PreparedStatement是一种预编译的SQL语句,它可以在执行之前将SQL语句和参数分离开来,从而避免SQL注入攻击。PreparedStatement使用占位符(?)来代替SQL语句中的参数,然后通过setXXX()方法来设置占位符的值,最后执行SQL语句。由于参数和SQL语句是分离的,攻击者无法通过输入特定的字符来改变SQL语句的结构,从而避免SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值