JDBC 入门小结之sql注入及防止

最新推荐文章于 2024-06-11 21:55:58 发布
最新推荐文章于 2024-06-11 21:55:58 发布
阅读量2.8k 收藏 8
点赞数 3
分类专栏: JDBC学习小结 文章标签: JDBC-sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36700834/article/details/53243367
版权

*JDBC是Java对数据库进行操作的一个桥梁.
借助数据库提供的数据驱动, 加上要操作的数据库语言,
执行数据库语句之后就可以对数据库里面的记录进行增 删 改 查(crud)操作了.*

请看连接mysql数据库,模拟登陆的演示案例:

案例一: sql注入,欺骗服务器执行恶意的SQL命令

1.先写一个工具类MyJdbcUtils,封装两个方法:

(1)封装连接到数据库的方法getConnection();

// 加载配置文件
static {    
    Properties p = new Properties();
    InputStream is;
    try {
        // 获取输入流路径
        is = new FileInputStream("src/db.properties");
        // 用Properties对象加载输入流
        p.load(is);
        //驱动路径  
        drivername = p.getProperty("drivername");
        //数据库路径
        url = p.getProperty("url");
        //数据库用户名
        username = p.getProperty("username");
        //数据库密码
        password = p.getProperty("password");
    }catch (Exception e) {
        e.printStackTrace();
    }
}

public static Connection getConnection() throws Exception{
    //加载驱动
    Class.forName(drivername);
    //连接数据库
    Connection con=DriverManager.getConnection(url, username, password);
    return con;
}

(2)封装释放资源的方法
releaseSource();

public static void releaseSource(ResultSet rs,Statement st,Connection con){
        if(rs!=null){
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            rs=null;
        }
        if(st!=null){
            try {
                st.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            st=null;
        }
        if(con!=null){
            try {
                con.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
            con=null;
        }
    }

2.然后通过下面这个测试类实现sql注入

这种编写sql语句的方法给了sql注入可乘之机!!!!!

public class Test1_sql_IllegalLogin {

    /**
     * sql的恶意注入案例
     * 模拟登陆
     */
    public static void main(String[] args) {
        // 键盘录入用户名和密码
        Scanner sc=new Scanner(System.in);
        System.out.println("username:");
        String username = sc.nextLine().trim();
        System.out.println("password:");
        String password = sc.nextLine().trim();

        login(username,password);
    }

    private static void login(String username,String password) {
        Connection con=null;
        Statement st=null;
        ResultSet rs=null;
        //查询数据库,获取用户名和密码
        try {
            con = MyJDBC_util_Illegal.getConnection();
            //编写sql代码
            String sql="select * from Person where username='"+username+"'and password='"+password+"'";
            //执行sql代码
            ps = con.createStatement();
            rs = ps.executeQuery(sql);          //获取结果集
            if(rs.next()){
                System.out.println("welcome!");     //登陆成功
            }else{
                System.out.println("Login failed"); //登陆失败
            }
        } catch (Exception e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }finally{
            MyJDBC_util_Illegal.releaseSource(rs, st, con);
        }
    }
}

运行会出现如下结果:
执行结果如下
是不是很带劲??? 不输入密码也可以登录进去!! 盗号必备技能!! 6666~

当然,我们以后是要拯救世界的!! 所以这种事情还是得杜绝的!!

然而… 怎么防止恶意注入呢??

Tips:
*在执行sql之前采用预编译,设置sql语句里面的参数.
*sql语句里面参数的值用占位符 ? 代替,可以达到固定格式的作用

实例来啦~~~~

案例二: 防止sql注入
1.将变量Statement st 修改为PreparedStatement ps; 用来预编译sql语句!
2.编写sql语句时用占位符 ? 代替字段的值, 这样就可以固定sql语句的格式了!

看代码:

public class Test2_sql_PreStatementLogin {
/**
 * sql注入的防止
 * 模拟登陆
 */
    public static void main(String[] args) {
        // 键盘录入用户名和密码
        Scanner sc=new Scanner(System.in);
        System.out.println("username:");
        String username = sc.nextLine().trim();
        System.out.println("password:");
        String password = sc.nextLine().trim();

        login(username,password);
    }

    private static void login(String username,String password) {
        Connection con=null;
        PreparedStatement ps=null;
        ResultSet rs=null;
        //查询数据库,获取用户名和密码
        try {
            con = MyJDBC_util_Login.getConnection();
            String sql="select * from Person where username=? and password=?";
            //预编译sql代码
            ps = con.prepareStatement(sql);
            //设置参数
            ps.setString(1, username);
            ps.setString(2, password);
            //执行sql代码
            rs = ps.executeQuery();         //获取结果集
            if(rs.next()){
                System.out.println("welcome!");     //登陆成功
            }else{
                System.out.println("Login failed"); //登陆失败
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally{
            MyJDBC_util_Login.releaseSource(rs, ps, con);
        }
    }
}

关键是固定了编写sql语句的格式, 使那些恶意输入的语句再也嚣张不起来了!!! 哈哈!~~

这下登不进去了吧…..蓝瘦?香菇?
失败了把

第一篇博客,想想还是有点小激动的~~~ 吼吼吼….

哈蒙
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 767
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。 SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4993
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC详解
最新发布
这河里吗l的博客
06-11 1213
JDBC(Java database connectivity)Java连接数据库技术,是Sun公司提供了一套API(Application Programming Interface应用程序编程接口),它为Java应用程序提供了一系列的类,使其能够快速高效地访问数据库。JDBC快速入门JDBC常用API介绍,数据库连接池
JDBCSQL注入
每日一记,每周一结。
10-07 689
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
jdbc——sql注入
m0_72960906的博客
10-31 957
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBCSQL注入
qq_46093575的博客
05-16 228
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库。
JAVA代码审计之SQL注入
06-14
1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate...
sqljdbc 3.0及4.0
03-19
`sqljdbc`是Microsoft提供的一个驱动程序,使得Java应用程序能够与SQL Server数据库进行交互。在这个场景中,我们关注的是`sqljdbc 3.0`和`4.0`版本,这两个版本都是专门为Java设计的,用于连接SQL Server 2000。 `...
sqljdbc4-3.0.jar
12-22
标题“sqljdbc4-3.0.jar”指向的是一个特定版本的Microsoft SQL Server JDBC驱动程序,它是用于在Java应用程序中连接和操作SQL Server数据库的桥梁。这个版本的驱动(3.0)支持与SQL Server 2000的兼容性。 在描述...
sqlserver 2000 8版本jdbc驱动
09-01
标题中的"sqlserver 2000 8版本jdbc驱动"指的是针对SQLServer 2000 8.0版的特定JDBC驱动,这是为了确保Java应用程序能够正确地连接到这个特定版本的数据库。在SQLServer 2000的生命周期内,存在多个版本,每个版本...
JDBC SQl注入
qq_61630897的博客
02-11 1026
首先创建jdbc工具类 public class DBUtils { //静态加载 static { try { Class.forName("com.mysql.jdbc.Driver"); } catch (ClassNotFoundException e) { e.printStackTrace(); } } /** * 获取连接 * *
JDBC解决SQL注入问题
MarconiYe的博客
04-04 888
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
JDBC-API详解、SQL注入演示、连接池
树叶子的博客
02-24 876
在开发中我们使用的是java语言,那么势必要通过java语言操作数据库中的数据。这就是接下来要学习的JDBC。Statement对象的作用就是用来执行SQL语句。而针对不同类型的SQL语句使用的方法也不一样。执行DDL、DML语句执行DQL语句该方法涉及到了ResultSet对象,而这个对象我们还没有学习,一会再重点讲解。封装了SQL查询语句的结果。ResultSet executeQuery(sql) :执行DQL 语句,返回 ResultSet 对象那么我们就需要从ResultSet。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1554
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBCSQL注入攻击
qq_45061361的博客
06-05 506
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL防注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
jdbc动态条件查询防止sql注入的解决方案
devnn的专栏
01-05 4655
问题场景:这里的动态查询是指,select语句的某一个或多个查询条件是这种情况:不限或指定值。不限就是这个条件要去掉,指定值就是这个条件必须要。比如你会看到买房子的网站的查询选项是这样的: 地区:不限或北京、上海、…。(下拉选项) 类型:不限或二手房或新房。(下拉选项) 户型:不限或三室一厅、三室二厅、二室一厅、…。(下拉选项) 也可能还有更多的条件。分析:如果地区条件用户选不限,sql查询的whe
JDBC--解决sql注入
tianqinglei的博客
06-26 428
sql注入 由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字, 达到改变SQL运行结果的目的,也可以完成恶意攻击。   示例: 在输入用户名时  tom' or '1'='1 这时就不会验证密码了。 解决方案: PreparedStatement(重点) 它是一个预处理的Statement,它是java.sql.Statem
JDBC中的SQL注入
Leessang
05-22 917
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。 1.2 S
Java JDBC入门与SQL基础
"JDBC入门PPT - 介绍JDBC驱动程序管理器和SQL语言的基础知识,包括数据定义、操纵和控制语言,以及INSERT、UPDATE、DELETE等数据更新语句的应用" 在Java数据库连接(JDBC)技术中,JDBC驱动程序管理器扮演着至关...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值