回头探索JDBC及PreparedStatement防SQL注入原理

最新推荐文章于 2022-08-14 13:32:58 发布
最新推荐文章于 2022-08-14 13:32:58 发布
阅读量269 收藏
点赞数 1
分类专栏: J2EE 文章标签: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/song_zhen/article/details/84725703
版权
本文回顾了JDBC中的PreparedStatement如何防止SQL注入,通过对比Statement和PreparedStatement的效率,展示了PreparedStatement在批量处理时的优势。同时,探讨了Properties文件的读取以及预编译在数据库操作中的重要性。
摘要由CSDN通过智能技术生成

概述

JDBC在我们学习J2EE的时候已经接触到了,但是仅是照搬步骤书写,其中的PreparedStatement防sql注入原理也是一知半解,然后就想回头查资料及敲测试代码探索一下。再有就是我们在项目中有一些配置项是有时候要变动的,比如数据库的数据源,为了在修改配置时不改动编译的代码,我们把要变动的属性提取到一个配置文件中,比如properties,因为properties里面都是键值对的形式,所以非常便于阅读和维护。

一、首先说说读取properties文件,这个相对路径和绝对路径的问题:

package com.test.properties;

import java.io.File;
import java.io.IOException;

public class TestProperties {

	
	private static final String dataSourcePath = "resources/dataSource.properties";
	private static final String absoluteDataSourcePath = "D:\\Workspace\\Blogs\\TEST_Preparedstatement\\resources\\dataSource.properties";
	
	public static void main(String[] args) {
		
		try {
			// 1.getPath() 方法跟创建 File 对象时传入的路径参数有关,返回构造时传入的路径
			// 2.getAbsolutePath() 方法返回文件的绝对路径,如果构造的时候是全路径就直接返回全路径,
			//		如果构造时是相对路径,就返回当前目录的路径 + 构造 File 对象时的路径
			// 3.getCanonicalPath() 方法返回绝对路径,会把 ..\ 、.\ 这样的符号解析掉
			
			// 1.相对路径读取文件
			//user.dir为当前用户目录(即项目路径),java.io 包中的类总是根据当前用户目录来解析相对路径名,
			//当File对象入参不是以"/"开始的时候,则判断为相对路径方式构造,使用当前用户目录+相对路径的方式构造文件对象
			System.out.println("当前用户目录:" + System.getProperty("user.dir"));
			File file = new File(dataSourcePath);
			System.out.println("入参路径:" + file.getPath());//入参路径
			System.out.println("绝对路径:" + file.getAbsolutePath());//绝对路径
			System.out.println("绝对路径:" + file.getCanonicalPath());//绝对路径
			
			// 2.绝对路径读取文件
			//绝对路径名:是完整的路径名,从根目录定位文件位置,不需要参照其他文件路径,
			//windows中从某个分区磁盘如"c://"开始定位,linux表示从根目录"/"开始定位。
			File file2 = new File(absoluteDataSourcePath);
			System.out.println("");
			System.out.println("入参路径2:" + file2.getPath());//入参路径
			System.out.
最低0.47元/天 解锁文章
神奇海螺宝宝
关注
专栏目录
JDBCSQL注入问题案例详解(简单易懂版)
奈何的人生
04-02 1359
什么是SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 简单来说 当用户输入的数据中有SQL关键字或语法时,并且参与了SQL语句的编译,导致SQL语句编译后条件结果为tr...
JDBC中使用preparedStatementSQL注入
龟的小号的博客
02-17 5407
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
JDBCSQL注入原理
tinaselling的博客
11-22 1497
一、基本解釋 1.JDBC(Java DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
JDBC PreparedStatement sql注入原理
qq_42121746的博客
12-04 607
JDBC PreparedStatement sql注入原理 使用Statement执行查询语句的时候 : 比如要执行用户名 密码登录验证的sql语句 经常要输入 String sql = " select * from user where name=' " +name+ " ' and pwd = ' " +pwd+ " ' "; 这时候如果用户输入的密码...
JDBCSQL注入与注入攻击原理
YCixZoem的博客
03-12 964
最近在学jdbc的数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
JDBC如何有效SQL注入
12-14
在Java的JDBC编程中,SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是SQL注入的基本方法。预编译的SQL语句将参数化查询...
SQL注入原理与解决方法代码示例
09-09
1. SQL注入原理: 当用户输入的数据未经验证或过滤直接拼接到SQL查询中时,攻击者可以通过输入特定的字符串来改变查询的逻辑。例如,通常的登录验证查询可能是这样的: ```sql SELECT * FROM users WHERE ...
JDBCDriver3.0.rar_jdbc driver 3.0_sql jdbc 3.0_sql server jdbc_s
09-22
2. **预编译语句(PreparedStatement)**:预编译的SQL语句可以显著提升执行速度,同时SQL注入攻击。 3. **批处理操作**:允许多个SQL语句一次性提交,减少网络通信次数,提高整体执行效率。 4. **游标支持**:...
JDBC如何SQL注入
qf2019的博客
08-25 2209
JDBC如何有效SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题, 那么,什么是SQL注入,以及如何SQL注入的问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JDBC和MyBatisSQL注入攻击的原理
qililong88的博客
03-27 474
JDBC 的 PrepareStatement 可以阻止 SQL 注入攻击,MyBatis 之类的 ORM 框架也可以阻止 SQL 注入,如何实现的? 因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参...
JDBC】PreparedStatementSQL注入原理、MyBatis中#和$的区别
ACTIM的博客
07-20 402
1. PreparedStatementSQL注入原理 众所周知,JDBC中可以使用PreparedStatementsql注入,那么PreparedStatement是如何sql注入呢?让我们先来看一下源码: /** * Set a parameter to a Java String value. The driver converts this to a SQL...
PreparedStatementsql注入原理
lovesman的博客
09-27 349
PreparedStatement的使用 PreparedStatement的使用 PreparedStatementsql注入原理 PreparedStatementsql注入原理
JDBC中的SQL注入
DZH2020的博客
08-14 1155
JDBC中的SQL注入
JDBCSQL注入
离开屏幕的光,哪盏灯照亮你的孤独?
02-19 341
SQL注入,PreparedStatementStatement 在SQL中包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 PreperedStatement(从Statement扩展而来)相对Statement的优点: 没有SQL注入的问题。 Stateme...
Java学习笔记47(JDBCSQL注入攻击原理以及解决)
weixin_30389003的博客
01-21 88
JDBC:java的数据库连接 JDBC本质是一套API,由开发公司定义的类和接口 这里使用mysql驱动,是一套类库,实现了接口 驱动程序类库,实现接口重写方法,由驱动程序操作数据库 JDBC操作步骤: 1.注册驱动 2.获得连接 3.获得语句执行平台 4.执行sql语句 5.处理结果 6.释放资源 1.导入jar包,可以在网上下载到,这里使用的是:mysql-...
JDBC原生编程以及SQL注入详解
fath_kevin的博客
07-29 1001
   SQL注入;          一SQL注入:通过在Web表单中输入(恶意)SQL语句而连接到一个存在安全漏斗的网站上的数据库,而不是按照设计者意图去执行SQL语句;            例如: String username="hello' or 1='1"; String password ="123456"; String sql=” "SELECT * FROM t_...
SQL注入原理
小飞鸟
09-08 560
SQL注入 就是通过sql命令插入到web表单中提交或输出域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令。 用户进行用户名和密码验证时,网站需要查询数据库,查询数据库是就执行sql语句 当用户登录时,后台执行的数据库操作语句是【select user_id ,user_type ,email from users where user_id='用户名' and passw...
Java使用PreparedStatement与FilterSQL注入
"JavaSQL注入的几种方法主要集中在避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据中嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值