SQL注入和PreparedStatement接口

最新推荐文章于 2022-10-10 12:48:01 发布
最新推荐文章于 2022-10-10 12:48:01 发布
阅读量293 收藏
点赞数
分类专栏: Java三阶段 - 前后端链接 文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_33940108/article/details/122250683
版权
  1. Statement接口实现登录(不重要)
public class StatementLoginDemo {
    public static void main(String[] args) {
        Scanner scan = new Scanner(System.in);
        //提示输入
        System.out.println("请输入用户名");
        String username = scan.next();
        System.out.println("请输入密码");
        String password = scan.next();

        try(Connection conn = DBUtils.getConn()){
            //定义Statement
            Statement st = conn.createStatement();
            //定义sql
            String sql = "select count(*) from user where username='"+username+"'and password='"+password+"';";
            //执行sql
            ResultSet rs = st.executeQuery(sql);

            while (rs.next()){
                //如果查询是1登录成功
                //如果查询是0登录失败

                int count = rs.getInt(1);
                if (count>0){
                    System.out.println("登录成功");
                }else{
                    System.out.println("登录失败");
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

user表中的数据
在这里插入图片描述

  1. SQL注入
    但是这样拼接字符串安全性极低,如果有用户恶意拼串sql语句即可登录成功。
    在这里插入图片描述
    sql注入攻击

  2. PreparedStatement接口(预编译状态通道)
    在Statement接口的基础上做了改进
    优点:
    1. 代码简介,不易出错,不需要把参数拼接SQL语句里面
    2. 可以避免SQL注入问题,因为在创建SQL执行对象时就已经将SQL语句逻辑锁死,不会被用户输入内容影响。
    3. 预编译机制,第二次运行已经编译好的sql语句,运行速度快。

public class PreparedStatementLoginDemo {
    public static void main(String[] args) {
        Scanner scan = new Scanner(System.in);
        //提示输入
        System.out.println("请输入用户名");
        String username = scan.next();
        System.out.println("请输入密码");
        String password = scan.next();

        try(Connection conn = DBUtils.getConn()){
            String sql = "select count(*) from user where username=? and password=?";
            PreparedStatement ps = conn.prepareStatement(sql);
            //sql中的?需要编译写代码来为它赋值
            ps.setString(1,username);
            ps.setString(2,password);
            //执行sql
            ResultSet rs = ps.executeQuery();

            while (rs.next()){
                int count = rs.getInt(1);

                if(count>0){
                    System.out.println("登录成功");
                }else {
                    System.out.println("登录失败");
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}
  • ps.setString(1,username);代表第一个问号,赋值给username
CV键都碎了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC(powernode CD2206)详尽版 (教学视频、源代码、SQL文件)
01-27
二、JDBC常用的接口和类 2.1 Driver接口 2.2 DriverManager类 2.3 Connection接口 2.4 Statement接口 2.5 PreparedStatement接口 2.6 ResultSet接口 2.7 DataSource接口 三、JDBC操作数据库的步骤 四、编写第一个...
Statement和PreparedStatementSQL注入问题)
while(true){ study }
07-14 774
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理。Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
Burpsuite 支持扫描漏洞列表
SHELLCODE_8BIT的博客
10-10 1950
burpsuite 支持扫描漏洞列表
【网络安全】SQL注入专题讲解
没枕头我咋睡觉
09-04 2674
所谓SQL注入,就是利用现用的应有程序的特性,攻击者通过在Web表单,URL等可输入数据的地方插入(恶意)SQL语句一并原有的SQL语句被代库执行。SQL命令就是前端应用程序和后端数据库之间的接口。 > 数据库库敏感信息泄露 > 网页被篡改,挂马 > 数据库被恶意操作 > 服务器被远程控制,被安装后门 ....... (1)按数据类型 > 数字形 > 字符型 (2)按返回结果 > 显错注入 > 盲注(Boolea
SQL注入详解
行者AI
09-16 1万+
现在大多数系统都使用B/S架构,出于安全考虑需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患,为了更好的保护数据泄露或服务器安全,为了方便的安全测试,便编写此文。 1. SQL注入简介 SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。下面以PHP语句为例作为展示: query="SE
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1394
PreparedStatement对象解决sql注入问题
一篇搞定JDBC【Mysql基础】
12-14
解决SQL注入的问题用户登录改进后6.对比Statement和PreparedStatement7.演示只能使用Statement对象不能使用PreparedStatement的业务需求用户输入sql语句8.JDBC事务控制三段重要代码应用于数据库用户之间的转账9.悲观...
jdbc基础和参考
01-08
提供预编译的功能,某种程度上可以避免sql注入的问题 4.提前做语法检查,在给?赋值的过程中要求数据类型一定要匹配,这样在某种程度上可以避免因为数据类型不匹配而发生的异常 CallableStatement:主要用来执行...
Java学习日志(三十三): JDBC预处理对象,连接池C3P0
12-14
Java学习日志(三十三)JDBC预处理对象登陆注册案例模拟:用户注入攻击数据库解决用户注入式攻击PreparedStatement对象对数据库表进行增删改查连接池连接池的原理连接池的规范接口DataSource创建并测试C3P0连接池的...
mybatis笔记.zip
最新发布
08-21
使用${}和#{}来插入参数,其中${}会直接替换,#{}会被预编译防止SQL注入。 5. 参数映射: 参数映射使用#{}或${}来引用参数,#{}使用PreparedStatement,$${}直接替换。 6. 结果映射: 结果映射将查询结果映射到
天天听SQL注入SQL注入到底是怎么注入的?
魑魅魍魉
12-10 6424
天天说SQL注入,写程序的时候要如何如何避免SQL注入,有多少人根本都不知道SQL注入是怎么注入的? 下面是SQL注入的一个简单实现步骤 首先我自己简单写了一个有SQL注入漏洞的接口用来测试 第一步:判断接口是否存在数据库注入漏洞 使用and 1=1,使条件成立,看接口是不是还可以正常返回数据 使用and 1=2,使条件不成立,看接口是不是不返回数据了,或者报错 上面两个步骤达到预期结果,就说明这个接口存在SQL注入漏洞 第二步:判断字段数 虽然看起...
SQL注入,很详细
m0_63683040的博客
04-20 1447
SQL注入(数字、UNION、字符型、布尔盲注、时间、报错、堆叠) SQL注入漏洞的方法 1.数字注入 在浏览器地址栏输入:learn.me/sql/article.php?id=1,这是一个get型接口,发送这个请求相当于调用一个查询语句: PHP源码: $sql = "SELECT * FROM database_name WHERE id =",$_GET[‘id’] 在浏览器地址栏输入:learn.me/sql/article.php?id=2-...
SQL注入问题---Statement和PreparedStatement
m0_65300193的博客
01-05 578
Statement对象用于执行静态SQL语句并返回其生成的结果的对象; 建立连接以后,可以通过以下的对象执行SQL语句: Statement---有SQL注入的问题; PreparedStatement---预处理---实际开发中用这个; CallableStatement---主要用来调存储过程; SQL注入sql injection):利用某些系统没有对用户输入的数据进行充分地检查,而在用户输入数据中注入非法的SQL语句段或者命令,恶意攻击数据库; ...
FindBugs规则整理
我行我速
09-12 1万+
FindBugs是基于Bug Patterns概念,查找javabytecode(.class文件)中的潜在bug,主要检查bytecode中的bug patterns,如NullPoint空指针检查、没有合理关闭资源、字符串相同判断错(==,而不是equals)等 一、Security 关于代码安全性防护 1.Dm: Hardcoded constant database password
关于PreparedStatement以及Jpa中in参数的设置
u014529211的博客
07-24 8291
关于PreparedStatement以及Jpa中in参数的设置在实际开发的过程中,都会遇到sql语句需要传in的参数的问题,小白我在开发的过程中也踩了好多坑,今天这里结合一些大大给的答案,简单的总结一下使用PreparedStatement以及在JPA中使用Query时, in后面的参数设置的方法。PreparedStatement in参数设置PreparedStatement中本身提供的方法s
如何防止sql注入(全)
Darkjazz11的博客
01-18 8715
定义:以用户或者外部的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令,泄露或者篡改SQL数据库的敏感数据。 基本例子: 原sql:String name = request.getParameter("name"); … ResultSet rs = conn.createStatement().executeQuery("SELECT Data F...
表单POST请求服务器,通过多条件查询获取数据库数据
Jekin Blog
12-16 5881
一、需求 通过表单几个字段查询获取数据库数据,并在jsp页面展示出来 笔者遇到的主要难点:用户查询的时候,表单字段有可能为空字符串("")或者实际值,MySQL查询语句如何写? 想必很多人都会说(包括我之前的想法),用!=""、if(判断语句,正确执行语句,错误执行语句)之类的方法,但是都会遇到类似的问题: 1.第一种方式,如果实际值(value!="")真的不等于空字符串,那么你
PrepareStatement sql语句in中多个参数的实现
热门推荐
LIsmooth的博客
08-08 2万+
下边是今天探索PrepareStatement预编译where条件为in的sql语句的过程,在mysql环境中只有第四种方法实现了,Oracle中可能第三种也可以不过没有测试,如果有需要可以直接跳转。1.通过拼接字符串设置参数×今天在实现一个数据库批量更新的代码时,发现String sql = "UPDATE t_demo SET columns='Well' WHERE column_id IN
PreparedStatement接口
08-02
通过使用PreparedStatement接口,可以有效地防止SQL注入问题,提高数据库操作的安全性。同时,预编译的SQL语句也可以提高数据库操作的性能,因为数据库可以提前编译并缓存SQL语句的执行计划,减少了重复解析SQL语句...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值