JDBC-Sql防注入

最新推荐文章于 2024-08-12 21:26:50 发布
最新推荐文章于 2024-08-12 21:26:50 发布
阅读量475 收藏
点赞数
分类专栏: 数据库 Java 文章标签: jdbc 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scq0814/article/details/46679173
版权

JDBC链接数据库查询相关信息时,传入参数进行查询等操作,可以拼接字符串,例如:

String querySQL = "select * from Student where studentId = '13010001'";
ConnectionUtils connection = ConnectionUtils.getConnection();
Statement stmt = connection.prepareStatement(querySQL);
ResultSet rs = stmt.executeQuery();
(ConnectionUtils工具类详情见 【工具类】一、ConnectionUtil工具类)

其中,sutdentId属性在传入的过成功,可引起SQL注入,如:将'13010001'替换成'13010001' or 'a' = 'a' 。由于'a' = 'a' 恒成立,则sql语句一定可以执行


所以,为防止SQL注入,可以利用PreparedStatement来防止SQL注入。用法如下:

String querySQL = "select * from Student where studentId = ?";
ConnectionUtils connection = ConnectionUtils.getConnection();
PreparedStatement stmt = connection.prepareStatement(querySQL);
stmt.setString(1,str);
ResultSet rs = stmt.executeQuery();

PreparedStatement的处理方式是,将str的内容作为一个字符串赋给querySQl语句中的?。所以,如果被传参数为'13010001' or 'a' = 'a',那做为该字段的对应值,显然这样是没有任何查询结果的。



喵喵点
关注
专栏目录
JDBC学习笔记(2)--sql注入问题、模糊查询、事务
weixin_43788771的博客
04-21 920
sql注入,模糊查询,与事务
JDBC 如何有效SQL 注入
weixin_33708432的博客
12-21 534
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何SQL注入的问题。 一什么是SQL注入 ...
JDBCsql注入攻击
We_chuan的博客
12-25 264
哪有什么一夜成名,都是百炼成钢 JDBC JDBCJava DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 简单地说,JDBC 可做三件事:与...
JDBC如何避免SQL注入
最新发布
几许的博客
08-12 553
SQL注入SQL Injection)是一种代码注入技术,它允许攻击者将或“注入”恶意的SQL命令到后端数据库引擎执行。这些恶意的SQL命令可以执行未授权的数据库查询、修改数据、管理数据库服务器上的文件系统、执行管理操作(如关闭数据库服务)等,从而可能对网站或应用程序造成严重的安全威胁。如果用户输入了admin'--(注意末尾的--由于--这允许攻击者绕过正常的验证逻辑,直接以admin用户的身份检索信息,即使他们不知道admin用户的密码。
JDBC学习笔记(二)sql注入攻击
criss_zhang的博客
07-19 92
接上一章的JDBC学习 接下来要做SQL注入 Connection conn = null; PreparedStatement ps = null; ResultSet rs = null; try{ //注册驱动 Class.forName("com.mysql.jdbc.Driver"); //获取数据库连接 conn = DriverManger.getConnection("jdbc:mysql:///表名?characterEncoding =utf-8","r.
Java-JDBCSQL注入攻击
yy310585的博客
01-29 255
Java-JDBCSQL注入攻击 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 例如 我们在JDBC中写的验证用户登录的方法是直接使用Statement执行的,那么SQL语句就是直接使用字符串拼接的形式"select * from account where username ='"+username+"' and passwo
JDBC-and-SQL-test
03-26
3. **Statement/PreparedStatement**:`Statement`用于执行静态SQL语句,而`PreparedStatement`则用于执行预编译的SQL语句,它可以SQL注入攻击,并提高性能。 4. **ResultSet**:当执行查询时,结果通常会被...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- 使用PreparedStatement可以SQL注入攻击,并提高查询效率。 7. **事务管理**: - JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`...
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 771
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。 SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
JDBC - java语言连接数据库、完成增删改查、解决SQL注入问题(详细)
weixin_51351637的博客
05-11 1687
一、基本介绍 从本质上来说,JDBC本质是SUN公司制定的一套接口(接口都有调用者和实现者) JDBC 接口一套interface可以在API帮助文档下 java.sql找到 1.为什么面向接口编程? 解耦合:降低程序的耦合度,提高程序的扩展力。 (多态机制是非常典型的面向抽象编程) 2、JDBC编程六部概述 背过!!!!!!!!!!!!!!!!! (1)注册驱动(告诉java程序,告诉java程序即将要连接的是哪个品牌的数据库) 例子: 方法1: //..
JDBC 增、查、删、改 和 sql注入登录
吉祥龙龙的博客
03-31 394
package cn.mxl.jdbc04; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; /** * * JDBC 增 * * JDBC 增加表中的数据 用SQL语句 * * @...
jdbc动态条件查询sql注入的解决方案
devnn的专栏
01-05 4670
问题场景:这里的动态查询是指,select语句的某一个或多个查询条件是这种情况:不限或指定值。不限就是这个条件要去掉,指定值就是这个条件必须要。比如你会看到买房子的网站的查询选项是这样的: 地区:不限或北京、上海、…。(下拉选项) 类型:不限或二手房或新房。(下拉选项) 户型:不限或三室一厅、三室二厅、二室一厅、…。(下拉选项) 也可能还有更多的条件。分析:如果地区条件用户选不限,sql查询的whe
JDBC连接如何SQL注入
lucyLee的博客
10-07 5110
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC如何有效SQL注入
rentian1的博客
09-01 1208
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 JDBC如何有效SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何SQL注入的问题。 一什
SQL注入
weixin_33873846的博客
03-28 197
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
JDBCSQL注入原理
tinaselling的博客
11-22 1497
一、基本解釋 1.JDBCJava DataBase Connection):它是Java用来执行SqlJava Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
javaJDBCsql注入
程金鹏(程利鹏)
12-19 3933
文章目录一、JDBC概述二 、JDBC 原理三、JDBC 开发步骤【myeclipse】2) 注册驱动 一、JDBC概述 JDBCJavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。 JDBC是一种用于执行SQL语句的 java api。 JDBC可以为多种关系数据库提供统一访问入口。 JDBC由一组Java工具类和接口组成...
JDBC数据库连接详解与JDBC-ODBC桥接
PreparedStatement相对于Statement的优势在于预编译,能提高执行效率,同时支持参数化查询,避免SQL注入问题。 JDBC还支持更高效的数据源(DataSource)接口和连接池(ConnectionPooling),这些新发展提高了性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值