java中预处理PrepareStatement为什么能起到防止SQL注入的作用?

最新推荐文章于 2021-08-11 21:09:33 发布
最新推荐文章于 2021-08-11 21:09:33 发布
阅读量446 收藏
点赞数
分类专栏: 日常记录
原文链接:https://blog.csdn.net/chenleixing/article/details/44024095
版权

大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。

       用法就是如下边所示:

String sql="update cz_zj_directpayment dp"+
 "set dp.projectid = ? where dp.payid= ?";
try {
	PreparedStatement pset_f = conn.prepareStatement(sql);
	pset_f.setString(1,inds[j]);
	pset_f.setString(2,id);
	pset_f.executeUpdate(sql_update);
}catch(Exception e){
	//e.printStackTrace();
	logger.error(e.message());
}

       那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!
————————————————
版权声明:本文为CSDN博主「Java我人生」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/chenleixing/article/details/44024095

罗宾范佩西
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么preparestatement能够防止sql注入
weixin_33701564的博客
04-10 647
2019独角兽企业重金招聘Python工程师标准>>> ...
为何JDBC的prepareStatement可以防止SQL注入
qq_43872529的博客
07-01 779
首先介绍一下SQL注入 SQL注入可以理解为通过添加恶意字段使得程序传入的SQL语句的语义发生改变,例如在登录账号并输入用户名之后添加注释符,使得后续的SQL语句失效,无需验证密码就可以进入系统;又或者在查询数据时添加or '1'='1'语句,可以获取数据库的所有信息。 1、那么为何会出现这种情况呢? 这种情况主要是因为查找功能采用的是字符串拼接方法,使得前台传入的参数直接拼接到SQL语句,然后通过statement直接执行该SQL语句,即使存在恶意字段,它也无法检测出来。 //字符串拼接方法 pu.
为什么PrepareStatement可以防止sql注入
liu1324457514的博客
01-14 2705
为什么Statement会被sql注入 因为Statement之所以会被sql注入是因为SQL语句结构发生了变化。比如: "select*from tablename where username='"+uesrname+ "'and password='"+password+"'"在用户输入’or true or’之后sql语句结构改变。select*from tablename where
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1074
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:Statement SQL 语句需要 Java 的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
java 防sql preparedstatement_PreparedStatement是如何防止SQL注入的?
weixin_32323465的博客
02-26 196
为什么在JavaPreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志)1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)String param = "'test' or 1=1";String sql = "sel...
PHP防止sql注入小技巧之sql预处理原理与实现方法分析
10-15
通过理解SQL预处理的工作原理并熟练应用`mysqli`库,开发者可以在PHP有效地防止SQL注入攻击,提高应用程序的安全性。在实际项目,结合其他安全措施,如输入验证和转义,可以进一步加固系统防护。记得定期更新PHP...
探讨php防止SQL注入最好的方法是什么
10-27
在PHP编程防止SQL注入是一项至关重要的任务,因为这种攻击方式可以对数据库造成严重破坏。SQL注入允许攻击者通过输入恶意数据来篡改或删除数据库的信息。本文将详细介绍如何在PHP有效地防范SQL注入。 首先...
java使用JDBC动态创建数据表及SQL预处理的方法
08-29
Java 使用 JDBC 动态创建数据表及 SQL 预处理的方法是 Java 语言常用的数据库操作技术。该方法主要涉及到 JDBC 操作数据库的连接、创建表、添加数据、查询等相关实现技巧。 一、JDBC 操作数据库的连接 在使用 ...
php防止sql注入的方法详解
10-20
使用预处理语句是防止SQL注入的最有效方法之一。预处理语句将SQL结构与数据分开处理,确保数据不会干扰SQL语句的结构。在PHP,可以使用PDO(PHP Data Objects)或MySQLi的预处理功能来实现。例如: ```php $...
java预处理PrepareStatement为什么能起到防止SQL注入作用??!!
m0_38053538的博客
09-27 120
转载地址:https://blog.csdn.net/chenleixing/article/details/44024095 大家都知道,javaJDBC,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。        用法就是如下边所示:   String sql="upd...
java:PreparedStatement可以防止sql注入的原因
热门推荐
xlantian的博客
08-18 1万+
  java对数据库访问的方法有多种。以操作MySql数据库为例。     方法一:创建Statement对象,调用对象的execute(String)、executeQuery(String)等函数执行String字符串的sql语句。           Class.forName(com.mysql.jdbc.Driver); //加载驱动 Connection con...
PreparedStatement 为什么能够防止注入式攻击
IrvingW的博客
04-07 1923
其实是预编译功能,用preparedstatement就会把sql的结构给数据库预编译。SQL注入 攻 击 是利用是指利用 设计 上的漏洞,在目 标 服 务 器上运行 Sql语 句以及 进 行其他方式的 攻 击 , 动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。 对 于 JDBC而言, SQL注入 攻 击 只 对 Statem
JAVA-使用PrepareStatement避免SQL注入
dxm809的博客
12-27 413
package com.dxm; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; imp...
Java:PreparedStatement 防止SQL注入
CSDN_chenyang的博客
06-02 310
Statement和PreparedStatement的区别 联系 PreparedStatement继承自Statement,两者都是接口。 Statement 用于执行静态SQL 语句在执行时,必须指定一个事先准备好的SQL语句。 PreparedStatement 是预编译的SQL语句对象,sql语句被预编译并保存在对象。被封装的sql语句代表某一类操作,语句可以包含动态的参数 “ ?”,执行时可以为“ ? ”动态设置参数值。 使用PreparedStatement对象执行sql时,sql语句被数
sql注入问题
qq_33366098的博客
07-21 1032
SELECT * FROM USER WHERE NAME='' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名: 密码: xxx */ -- 将用户名和密码带入sql语句, 如下: SELECT * FROM USER WHERE NAME='xxx' OR 1=1 --' and password='xxx'; -- 发现sql语句...
preparedstatement防止sql注入的本质原理(找了很多文章,发现这种说法好像才是正确的)
Miao_Yue_LIN的博客
05-22 439
转发自该链接https://blog.csdn.net/silencediors/article/details/104085380 SQL注入的预编译疑惑 前几天拜读绿盟大佬写的web应用安全编码时,看到有一页PPT上加了一句话备注,preparedstatement预编译本质也是过滤。就这一点问题我请教了一个老司机和阅读了相关资料后,觉得有必要写出来一下。 preparedstatementstatement 这两个对象字如其意,可以参考相关文档对他们的详细分析。preparedstatement就是
Java学习】preparedstatement 处理机制
爱科比的博客
05-08 1072
1. 使用PreparedStatement有什么样的优势? PreparedStatementjava.sql包下面的一个接口,用来执行SQL语句查询,通过调用connection.preparedStatement(sql)方法可以获得PreparedStatment对象。数据库系统会对sql语句进行预编译处理(如果JDBC驱动支持的话),预处理语句将被预先编译好,这条预编译的sql查询语...
java实现mysql拦截_在mybatis执行SQL语句之前进行拦击处理实例
weixin_35273106的博客
03-08 979
比较适用于在分页时候进行拦截。对分页的SQL语句通过封装处理,处理成不同的分页sql。实用性比较强。import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.List;import java....
(3) 什么是SQL注入?为什么PDO能够防止SQL注入?
最新发布
06-11
SQL注入是一种常见的Web攻击方式,攻击者通过在Web应用的输入框等用户交互界面输入恶意的SQL语句,从而达到欺骗数据库执行非授权操作的目的。SQL注入可以导致数据泄露、数据篡改、系统瘫痪等严重后果。 PDO(PHP Data Objects)是PHP的一个数据库抽象层,它提供了一种安全的、面向对象的方式来操作数据库,PDO使用预处理语句和绑定参数的方式来防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句与参数分开处理,这样攻击者输入的恶意SQL语句就不会被执行。PDO还提供了参数绑定功能,通过将用户输入的参数与SQL语句分离,再对参数进行类型转换和过滤,从而有效地防止SQL注入攻击。因此,使用PDO可以有效地防止SQL注入攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值