【JDBC】注入攻击与PreparedStatement

最新推荐文章于 2024-07-09 22:51:17 发布
最新推荐文章于 2024-07-09 22:51:17 发布
阅读量995 收藏
点赞数
分类专栏: 数据库 Java 文章标签: jdbc sql string null 数据库

何为注入攻击?让我们先看一个小例子,我们编写一段程序,根据用户指定的name值返回记录。

 
 

  
  

   
   
   
   String sql 
   
   =
   
    
   
   "
   
   select * from test where name='
   
   "
   
    
   
   +
   
    name 
   
   +
   
    
   
   "
   
   '
   
   "
   
   ;
state 
   
   =
   
    conn.createStatement();
rs 
   
   =
   
    state.executeQuery(sql);

   
   //
   
    显示查询结果
   
   

   
   while
   
    (rs.next()) 
   
   
   
   {
    System.out.println(rs.getInt(1+ " " + rs.getString(2));
}

这里我们直接使用用户传递过来的name变量拼接了一条sql语句进行查询。在String name = "lingirl2"的时候程序会返回正确的结果。

上面的例子里,我们乐观的认为用户输入的都是正常的字符串,没有考虑到恶意攻击的情况,如果用户输入了这样一段内容:

String name = "xxx' or '1'='";

经过拼接得到的sql就变成了这样。

select * from test where name='xxx' or '1'='1'

好啦,这会搜索出所有满足name='xxx'或者满足'1'='1'条件的记录,结果变成搜索test库中所有的记录了。

当String name = "xxx' or '1'='";的时候,查询结果如下:

所谓sql注入攻击,是因为程序没有对用户输入进行校验,造成用户可以在输入中包含恶意代码篡改程序功能。上面的例子仅仅是造成数据泄密,更严重的用户还可能窃取最高管理权限,删除数据库中所有的数据。

为了解决这个问题,我们可以使用PreparedStatement,修改后的代码如下。


 
 

  
  

   
   
   
   import
   
    java.sql.
   
   *
   
   ;


   
   public
   
    
   
   class
   
    Select3 
   
   
   
   {
    public static void main(String[] args) throws Exception {
        String name = "xxx' or '1'='1";

        Connection conn = DbUtils.getConnection();
        PreparedStatement state = null;
        ResultSet rs = null;
        try {
            String sql = "select * from test where name=?";
            state = conn.prepareStatement(sql);
            state.setString(1, name);
            rs = state.executeQuery();
            // 显示查询结果
            while (rs.next()) {
                System.out.println(rs.getInt(1+ " " + rs.getString(2));
            }
        } catch(Exception ex) {
            ex.printStackTrace();
        } finally {
            if (rs != null{
                rs.close();
            }
            if (state != null{
                state.close();
            }
            DbUtils.close(conn);
        }
    }
}

通过如下几步将Statement改为PreparedStatement。

  1. sql语句修改为

    select * from test where name=?

    注意这个问号(?)就是我们需要传递参数的地方。

  2. 使用prepareStatement获得PreparedStatement变量。

    state = conn.prepareStatement(sql);

    与createStatement不同,创建的PreparedStatement的同时要传入sql语句,让PreparedStatement对sql语句进行预处理,以备后用。

  3. 传入name参数。

    state.setString(1, name);

    这里的参数“1”代表使用name替代sql中的第一个问号“?”,name中有什么特殊字符,PreparedStatement会帮助咱们自动转换。

  4. 最后执行查询,rs = state.executeQuery();因为创建PreparedStatement的时候就已经对sql进行了处理,这里直接执行查询就能得到结果。

看一下使用PreparedStatement查询String name = "xxx' or '1'='";的情况。

实际上,自己手工拼接sql非常容易出错,即便不担心注入攻击也应该尽量使用PreparedStatement,至少可以减小写错sql的机会。

最后放上一个使用PreparedStatement进行插入的例子,可以自己写一个不使用PreparedStatement的例子对比一下。


  
  

   
   

    
    
    
    import
    
     java.sql.
    
    *
    
    ;


    
    public
    
     
    
    class
    
     Insert 
    
    
    
    {
    public static void main(String[] args) throws Exception {
        int id = 1;
        String name = "lingirl";

        Connection conn = DbUtils.getConnection();
        PreparedStatement state = null;
        try {
            String sql = "insert into test(id,name) values(?,?)";
            state = conn.prepareStatement(sql);
            state.setInt(1, id);
            state.setString(2, name);

            state.executeUpdate();
        } catch(Exception ex) {
            ex.printStackTrace();
        } finally {
            if (state != null{
                state.close();
            }
            DbUtils.close(conn);
        }
    }


   
   

  
  

}
siyue_qi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
2. **防止SQL注入**:PreparedStatement通过设置参数的方式执行SQL,可以有效地防止SQL注入攻击。因为参数是作为占位符处理,而不是直接拼接到SQL字符串中,从而避免了恶意用户输入可能导致的语法错误或安全风险。 ...
jdbc实现与线程池
06-14
为了防止 sql 注入攻击jdbc 提供了 PreparedStatement 对象,用于预编译 sql 语句,并将参数作为输入参数传递给语句对象。这可以防止攻击者 inject 恶意的 sql 语句。 五、jdbc 连接池 jdbc 连接池是指在应用...
SQL注入攻击与PreparedStatement
eve8888888的博客
12-31 300
这几天在学习JDBC,一开始用的是Statement,后来一位老师给我们讲课时用的是PreparedStatement,一开始只是觉得PreparedStatement方便了很多,不用反复拼接SQL语句,只需要用?占位就可以了。无聊时百度了一下这两个的区别,才发现PreparedStatement要比Statement强大很多,而且在程序中要使用PreparedStatement。 先来说说为什...
JavaSE JDBC防止SQL注入攻击:PreparedStatement
Mr青青子衿
12-09 397
目录Sql注入使用PreparedStatement预编译语句对象解决SQL注入攻击 Sql注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 以模拟登录为例:在前台输入用户名和密码,后台判断信息是否正确,并给出前台反馈信息,前台输出反馈信息。 public class TestInjection { private sta
JDBC中使用preparedStatement防止SQL注入
qq_43842093的博客
08-29 1341
一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输入账号和密码。 我们的代码中会有如下SQL语句: String sql="select * from user where account='"+account+"' and password='"+password+"'"; 情形1:(免账号登录) 账号:' or 1=1-- (--
sql注入攻击和PreparedStatement有效防止sql注入攻击
PacosonSWJTU的博客
08-04 1298
【1】sql注入攻击: /** * SQL 注入. */ @Test public void testSQLInjection() { String username = "a' OR PASSWORD = "; String password = " OR '1'='1"; String sql = "SELECT * FROM user_tbl WHERE use...
java statement 注入_【Java编程】JDBC注入攻击-Statement 与 PreparedStatement
weixin_42365327的博客
02-17 90
在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了怎样使用JDBC驱动建立一个简单的连接。并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比較Statement和PreparedStatement。当然这...
JDBC——SQL注入、PreparedStatement
qq_43575044的博客
09-14 144
基本介绍 Statement 对象用于执行静态 SQL 语句并返回其生成的结果的对象 在连接建立后,需要对数据库进行访问,执行命名或是 SQL 语句,可以通过: 1.Statement【存在SQL注入】 2.PreparedStatement【预处理】 3.CallableStatement【存储过程】 Statement 对象执行 SQL 语句,存在 SQL 注入风险 SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,恶意攻击
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2568
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
【Java编程】JDBC注入攻击-Statement 与 PreparedStatement
andieguo的专栏
05-14 3324
在上一篇【Java编程】建立一个简单的JDBC连接-Drivers, Connection, Statement and PreparedStatement我们介绍了如何使用JDBC驱动建立一个简单的连接,并实现使用Statement和PreparedStatement进行数据库查询,本篇blog将接着上篇blog通过SQL注入攻击比较Statement和PreparedStatement。当然这两者还有很多其他方面的不同,在之后的blog中会继续更新。
JDBC接口———PreparedStatement预处理
weixin_42472048的博客
09-24 894
PreparedStatement * 它是Statement接口的子接口; * 强大之处: - 防SQL攻击; - 提高代码的可读性、可维护性; - 提高效率! * 学习PreparedStatement的用法: - 给出SQL模板! - 调用Connection的PreparedState...
JDBCStatement 和 PreparedStatement区别
weixin_43808717的博客
10-06 329
1. 概念 Java提供了三种用来执行SQL查询语句的API;Statement、PreparedStatement 和 CallableStatement。其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。 Statement继承自Wrapper,一般用于普通的不带参的SQL语句。Statement是不安全的,容易产生SQL注入攻击。简单理解就是正常的一个SQL语句中添加了一个恶意的SQL语句,
JDBC源码与PPT.zip
06-04
这个压缩包“JDBC源码与PPT.zip”包含了关于JDBC的深入学习资料,包括了CRUD(创建、读取、更新、删除)操作,事务管理,存储过程,SQL注入防范以及驱动程序的使用等多个关键知识点。 1. **CRUD操作**:CRUD是...
JDBC笔记与GUI界面相结合
04-11
- **PreparedStatement**:相较于`Statement`,`PreparedStatement`更安全且高效,因为它支持预编译的SQL语句,可以防止SQL注入攻击。使用占位符"?",通过`setXxx()`方法设置参数,例如`setString(1, "John")`。 - ...
java中的jdbc数据库操作
06-25
- `Statement`接口用于执行静态SQL语句,不支持参数化查询,易受SQL注入攻击。 - `PreparedStatement`接口预编译SQL语句,支持参数化,提高性能且更安全。 - `CallableStatement`用于执行存储过程。 5. **结果集...
Sql 导入到 Excel 工具
最新发布
weixin_43891945的博客
07-09 201
VBA sql into Excel
My sql 安装,环境搭建
2201_75643669的博客
07-03 597
以下以MySQL 8.0.36为例。
SQL】索引过多的缺点
hui_zai_的博客
07-04 410
索引过多的缺点
PostgreSQL 如何处理海量小文件数据的存储和查询?
技术笔记
07-08 825
处理 PostgreSQL 中的海量小文件数据存储和查询是一个复杂的任务,需要考虑存储方式、查询优化、并发控制和性能调优等多个方面。根据实际的业务需求和数据特点,选择合适的解决方案,并不断进行测试和优化,以确保系统的性能和可靠性。🎉相关推荐🍅关注博主🎗️带你畅游技术世界,不错过每一次成长机会!📚领书:PostgreSQL 入门到精通.pdf📙PostgreSQL 中文手册📘PostgreSQL 技术专栏。
javaweb期末考试啊啊啊啊嗷嗷
12-27
然后构建一个SQL插入语句,使用`PreparedStatement`(预编译语句)来提高性能和安全性,防止SQL注入攻击。方法设置了三个参数值(班级号、班级名称和部门ID),调用`executeUpdate()`执行插入操作,最后关闭`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值