浅析Statement类SQL注入问题

最新推荐文章于 2023-01-16 17:43:42 发布
最新推荐文章于 2023-01-16 17:43:42 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: JDBC 文章标签: JDBC JAVA 数据库访问层 SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/slience_duya/article/details/91129817
版权
本文探讨了Statement类在处理用户输入时可能导致的SQL注入问题,通过一个登录功能的例子说明了问题所在,并提出了使用PreparedStatement接口作为解决方案,强调了预编译SQL语句的安全性和批处理能力。
摘要由CSDN通过智能技术生成

浅析Statement类SQL注入问题

       Statement接口是java.sql包下的一个接口,是官方提供的用来操作数据库的标准接口之一。接口的实现一般在数据库驱动中。因为所有的与数据库之间的交互都是基于连接对象的,所以它也是由连接对象获取返回的。返回的Statement类对象可以理解为是Java执行SQL语句的对象。

简单使用(以MySQL数据库为例)

//获得连接
Connection connection = DriverManager.getConnection(url, user, password);
//创建执行sql语句对象
Statement statement = connection.createStatement();
//执行sql,处理结果
String sql = “select * from user”;
//返回结果集对象
ResultSet resultSet = statement.executeQuery(sql);

SQL注入问题

       什么是SQL注入问题?我们在编写SQL语句的时候不可能是所有的条件都确定的。比如说用户登录的时候,账户和密码都是手动在用户层传入进来,而处在数据访问层的数据库交互代码是无法提前预知其信息的。因此。在编写SQL语句实现某个功能的时候,就不得不采用参数变量占位的方式来处理。
以下方简单的一个登录功能为例

private static void login(String username, String password) {
Connection con=null;
Statement st=null;
ResultSet rs&

最低0.47元/天 解锁文章
AHQ.Jerry
关注
专栏目录
浅析MySQL安全问题SQL注入攻击
ZY-JIMMY
05-22 1600
SQL 注入简介 、应用开发中可以采取的应对措施 、PrepareStatement+Bind-variable 、使用应用程序提供的转换函数 、自己定义函数进行校验
浅析Statement和PreparedStatement的区别
weixin_34218890的博客
02-16 679
当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择? 首先,我们来看俩者的区别: Statement和PreparedStatement的区别(1) 1、直接使用Statement,驱动程序一般不会对sql语句作...
SQL Statement
10-13
SQL Statement,一些sql语句的基本语句,方便学习数据库
【大数据系列之JDBC】(四):Statement存在SQL注入问题
CSDN 精品推荐
12-22 317
但是使用Statement存在SQL注入问题SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面会多一个。
Statement对象sql注入漏洞的问题
awv94517的博客
08-10 232
现在通过mysql以及oracle来测试sql注入 漏洞 mysql中的注释# oracle中的注释为-- 所以注入漏洞就产生了 //登录测试 public void login()throws Exception{ Scanner input=new Scanner(System.in); System.ou...
Statement的注入问题浅谈
Stan的专栏
03-22 395
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说中的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 811
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
thinkphp mysql sql语句_thinkphp 和 laravel使用sql语句操作db和源码浅析
weixin_39630498的博客
01-30 371
前言对于一个PHP应用,可能最多的就是操作数据,以致于初学者有时只把php当做数据库增删查改的工具(这也无可厚非)。而基于框架的语言,在框架中自然不能少了对数据库操作的封装,总想打开源码,看看到底是怎么工作的,趁着在期末考试前有时间~~thinkphp首先是这个中国人用的最多的框架说起。ps:我是基于thinkphp3.2来说,tp5.x党见谅~thinkphp支持对原生的sql语句执行,如:$d...
PHP程序安全浅析.pdf
最新发布
01-05
* 使用prepared statement:可以避免 SQL 注入攻击 * 输入验证:对用户输入的数据进行严格的验证 * 错误处理:对错误进行合理的处理,避免暴露敏感息 * 定期更新和维护:定期更新和维护系统,修复漏洞,避免被攻击
Statement和PreparedStatementSQL注入问题
while(true){ study }
07-14 901
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理。Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
Statement注入与PreparedStatement
ooiio的博客
01-16 76
Statement注入与PreparedStatement(预编译提高性能,防止注入),图3忘加上释放。
SQL注入,PreparedStatementStatement
qq_40180411的博客
07-30 220
SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 PreperedStatement(从Statement扩展而来)相对Statement的优点:     1.没有SQL注入问题。     2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢...
mysqlStatementsql注入问题
m0_56525972的博客
12-21 1100
SQL注入问题: 通过SQL语言语法规则改变了程序设计的初衷,从而导入一些有问题的现象。 import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.Statement; import java.util.Scanner; public class StatementDemo02 { public static void main(String...
jdbcStatement接口的sql注入
programmer_trip的博客
05-25 272
jdbcStatement接口的sql注入 代码实践 下面用最原始的jdbc连接代码演示一下 -- 环境 -- musql 8.0.12 -- jdbc jar包 mysql-connector-java-8.0.19.jar --第一步 使用navicate创建数据库和表 -- 创建数据库 create database my_first; -- 创建表 create table temp_user( u_id int primary key auto_increment, u_name var
JavaStatementSQL注入问题
m0_63217468的博客
08-26 938
JavaStatementSQL注入问题
JDBC中关于StatementSql注入问题
发光吖的博客
09-11 1124
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
关于Statement和PreparedStatement还有SQL注入
努力努力再努力
07-03 207
Statement String passWord="1' OR '1'='1"; String strSQL = "SELECT * FROM users WHERE name = '张三' and pw = '"+ passWord +"'"; 该SQL语句变成 SELECT * FROM users WHERE name = '张三' and pw = '1' OR '1'='1' ...
SQL注入问题---Statement和PreparedStatement
m0_65300193的博客
01-05 611
Statement对象用于执行静态SQL语句并返回其生成的结果的对象; 建立连接以后,可以通过以下的对象执行SQL语句: Statement---有SQL注入问题; PreparedStatement---预处理---实际开发中用这个; CallableStatement---主要用来调存储过程; SQL注入sql injection):利用某些系统没有对用户输入的数据进行充分地检查,而在用户输入数据中注入非法的SQL语句段或者命令,恶意攻击数据库; ...
SQL注入
哈利路亚里路亚
09-15 331
一、简介     所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 比...
浅析Joomla的SQL注入攻击及防御策略
"基于Joomla的SQL注入攻击" SQL注入攻击是黑客对数据库进行攻击的常用手段之一。在B/S模式应用开发中,许多程序员在编写代码时,没有对用户输入数据的合法性进行判断,这使得非法用户可以提交一段数据库查询代码,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值