SQL注入问题以及解决方法

最新推荐文章于 2024-06-17 15:49:27 发布
最新推荐文章于 2024-06-17 15:49:27 发布
阅读量1.2k 收藏
点赞数
分类专栏: 数据库 文章标签: sql java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spsglz/article/details/109633810
版权

sql注入

       SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

-- 代码中的SQL语句

   "SELECT * FROM user WHERE name='" + name + "' AND password='" + password + "';";

-- 将用户输入的账号aaa和密码:a' or '1'='1拼接后

    "SELECT * FROM user WHERE name='aaa' AND password='a' or '1'='1';"

我们让用户输入的密码和SQL语句进行字符串拼接。用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义,以上问题称为SQL注入。 要解决SQL注入就不能让用户输入的密码和我们的SQL语句进行简单的字符串拼接。

 

防止sql注入的解决方法:PreparedSatement预编译对象

(1)PreparedSatement的执行原理

我们写的SQL语句让数据库执行,数据库不是直接执行SQL语句字符串。和Java一样,数据库需要执行编译后的SQL语句(类似Java编译后的字节码文件)。

1.statement对象每执行一条SQL语句都会先将这条SQL语句发送给数据库编译,数据库再执行

Statement stmt = conn.createStatement();
stmt.executeUpdate("INSERT INTO users VALUES (1, '张三', '123456');");
stmt.executeUpdate("INSERT INTO users VALUES (2, '李四', '666666');");

上面2条SQL语句我们可以看到大部分内容是相同的,只是数据略有不一样。数据库每次执行都编译一次。如果有1万条类似的SQL语句,数据库需要编译1万次,执行1万次,显然效率就低了。

public class JdbcPrecompile {
    public static void main(String[] args) {
        Connection conn =null;
        PreparedStatement preparedStatement =null;
        try {
            conn = JdbcUtilDemo02.getConnection();
            String sql="insert into user(name,username,password) values (?,?,?)";
            //预编译sql语句
            preparedStatement = conn.prepareStatement(sql);

            //设置sql语句中的参数
            preparedStatement.setString(1,"张三");
            preparedStatement.setString(2,"spsglz");
            preparedStatement.setString(3,"123456");
            preparedStatement.executeUpdate();
            
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
           //关流
        }
    }
}

prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。相当于调用方法多次传入不同的参数。

(2)PreparedSatement的好处

1.prepareStatement()先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数给PreparedStatement对象并执行。减少SQL编译次数,提高效率。

2.安全性更高,没有SQL注入的隐患。

3.提高了程序的可读性

(3)PreparedSatement的基本使用

PreparedStatement prepareStatement(String sql)  
//会先将SQL语句发送给数据库预编译。PreparedStatement对象会引用着预编译后的结果。
void setDouble(int parameterIndex, double x) 
//将指定参数设置为给定 Java double 值。
void setFloat(int parameterIndex, float x) 
//将指定参数设置为给定 Java REAL 值。
void setInt(int parameterIndex, int x) 
//将指定参数设置为给定 Java int 值。
void setLong(int parameterIndex, long x) 
//将指定参数设置为给定 Java long 值。
void setObject(int parameterIndex, Object x) 
//使用给定对象设置指定参数的值。  
void setString(int parameterIndex, String x) 
//将指定参数设置为给定 Java String 值。 
ResultSet executeQuery() 
//在此 PreparedStatement 对象中执行 SQL 查询,并返回该查询生成的ResultSet对象。 
int executeUpdate() 
//在此 PreparedStatement 对象中执行 SQL 语句,该语句必须是一个 SQL 数据操作语言DML语句
//比如 INSERT、UPDATE 或 DELETE 语句;或者是无返回内容的 SQL 语句,比如 DDL 语句。

(4)PreparedSatement使用步骤

    1. 编写SQL语句,未知内容使用?占位:"SELECT * FROM user WHERE name=? AND password=?;";
    2. 获得PreparedStatement对象
    3. 设置实际参数
    4. 执行参数化SQL语句
    5. 关闭资源
松鼠先生_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pymysql如何解决sql注入问题深入讲解
09-09
本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符串拼接来构建SQL查询时,就容易受到SQL注入攻击。例如,在以下代码中,用户输入被直接用于SQL语句: ```...
JDBC语句中单引号与双引号的作用
weixin_42395998的博客
01-10 538
当处理JDBC登录案例时候遇到的问题 问题:判断键盘传入的用户名和密码是否存在 字符串拼接sql语句的方式,当使用java向数据库中插入数据时,值为字符串(String)时,需要用一对’‘(单引号)括起来,整型数据(int)则不用,而这种拼接的方式最主要的目的就是将单引号中的值替换为变量,在sql语句被执行时将解析这些变量再将其替换为需要的数据,这样就比固定值更加灵活。 String sql = "insert into user(username,password,email) values('" + u
Spring框架学习4——数据库开发
wsdchong的博客
05-10 441
前言:今天终于遇到了第一个报错,记录一下。之前三次都没遇到。 这个文章的定位不是实现的步骤,而是实现过程中遇到的问题。并且我写的步骤是别人的步骤的记录,算不了什么,后面对使用过程中遇到的问题以及解决方法才是自己写的,有价值的地方。 写这篇文章的出发点一个是为了保障自己学以致用,一个是查漏补缺。 而且很多教程虽然说按照那个步骤可以成功,但也可能不成功,要么是自己操作有误,要么是版本变了,还有可能自己基础没学好,前置知识不够。我最开始写Java的时候连创建父类和接口类都不会,直接创建一个类,然后复制粘贴
SQL注入网站实例:注入步骤
最新发布
2401_84466359的博客
06-17 1132
我们主要是详细的给大家演示,如何对一个网站进行SQL注入入侵的,这个入侵过程中,它是如何发现注入点的,发现和测试注入点之后,我们要如何来获得爆库、爆表、爆密码,甚至控制后台,一旦获得网站控制后台之后,更有甚者,要如何与数据库层、系统层进行交互提权,以便进一步控制数据库和操作系统,所有这些又是如何发生的我们将通过详细的注入实例,我们从中吸取教训,从安全角度来说,我们要如何来预防mysql注入的高级黑客,这就是我们第三部分所要解决问题
java---JDBC
卿本佳人的博客
02-20 410
文章目录JDBC接口介绍连接步骤JDBC高级封装具体实例 JDBC 是Java语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法 接口介绍 DirverManager类 Connention接口 Statement接口 ResultSet接口 连接步骤 导包: import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.S
【一看就懂的java学习】之 学生管理系统
qq_38785034的博客
11-10 172
学生管理系统16 学生管理系统1.结构图和思路2.代码学生类主方法类 16 学生管理系统 1.结构图和思路 思路: 定义学生类 主界面代码编写 添加学生的代码编写 查看学生的代码编写 删除学生的代码编写 修改学生的代码编写 结构图: 2.代码 学生类 public class Student { private String sid; private String age; private String name; private String address;
JDBC操作基础
m0_61016568的博客
08-11 235
在实际工程中我们往往需要使用类似命令行中scanner的办法获取用户数据, 然后进行sql的操作, 最简单的办法就是直接读取数据, 然后以拼接字符串的方式进行操作, 但是这种做法不仅让代码可读性降低, 而且危险性很大, 我们无法确保用户输入的数据是什么样的。这样输入虽然并不能真的删除student, 我只是拿来举个例子, 但是懂得如何输入的"用户"自然会成功, 这也就是所谓的sql注入。为了防止这一情况的放生, 我们使用库内的方法进行sql操作, 这样不仅增加了代码可读性, 也增加了代码的安全性。...
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
通过ibatis解决sql注入问题
08-29
iBatis解决SQL注入问题 iBatis是一个流行的持久层框架,广泛应用于Java企业级开发中。然而,在使用iBatis时,开发人员经常面临着SQL注入问题SQL注入是一种常见的安全威胁,可能会导致数据泄露、数据篡改、系统...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
SQL注入漏洞过程实例及解决方案
12-14
SQL注入漏洞是网络安全中一个严重的问题,它允许恶意用户通过构造特定的输入,篡改数据库查询,从而获取敏感信息或执行非授权操作。在提供的代码示例中,我们可以看到一个典型的SQL注入漏洞实例。 在`JDBCDemo3`类...
数据库连接池二
sinat_38195280的博客
05-02 188
一、应用程序直接获取数据库连接的缺点   用户每次请求都需要向数据库获得链接,而数据库创建连接通常需要消耗相对较大的资源,创建时间也较长。假设网站一天10万访问量,数据库服务器就需要创建10万次连接,极大的浪费数据库的资源,并且极易造成数据库服务器内存溢出、拓机。如下图所示: 二、使用数据库连接池优化程序性能 2.1、数据库连接池的基本概念 数据库连接是一种关键的有限的昂贵的资源,这一点在多...
sql语句insert插入函数如果values值括号里放变量名
weixin_51959559的博客
11-24 2383
sql语句insert插入函数如果values值括号里直接放变量名就会到时表增加了一个空的记录,解决方法是使用特殊格式 String sql = "insert into user(name,id,password)"+"values('"+Name+"','"+Id+"','"+Password+"');"; System.out.println("请输入用户名:"); String Name = sc.next(); System.out.pr..
SQL注入以及解决方法
阳young的博客
01-26 8191
目录 SQL注入: 用例子说明: 1.创建user表,其中表中有三个字段,分别是id(有自增功能), username, password。并插入三条数据。 2.将数据库和Java连接并进行登录测试 3.运行代码:​ ​​这就是SQL注入的现象, 为什么会出现这样的现象? 那我们怎么该避免这种情况呢?这时候就需要用到PreparedStatement对象。 SQL注入: 由于jdbc程序在执行的过程中,sql语句在拼接时使用了由页面传入参数。如果用户恶意传入一些sql中的特殊关键字,就会.
SQL注入的一些示例及解决SQL注入方法
weixin_43618785的博客
03-09 8721
解决SQL注入方法
String sql3="insert into teacher_student (teacher_id,student_id) values(?,?)";
云计算?
01-09 3231
package com.tfy.itheima.dao.impl; import java.util.List; import org.apache.commons.dbutils.QueryRunner; import org.apache.commons.dbutils.handlers.BeanHandler; import org.apache.commons.dbutils.ha...
MySql数据库二
helloworld999999的博客
03-02 220
五、JDBC jdbc就是操作关系型数据库的规则(接口),数据库厂商需要实现这套接口,并且提供数据库驱动jar包。我们去使用这套接口,真正执行的是对应的驱动包里的实现类。 com.mysql.jdbc.Driver类是mysql提供的实现类,它实现了java.sql.Driver; ...
SQL注入的原因及其解决方法
zhanchulan的博客
08-19 926
SQL 注入产生的原因:程序开发过程中不注意规范书写 sql 语句和对特殊字符进 行过滤,导致客户端可以通过全局变量 POST 和 GET 提交一些 sql 语句正常执行。 防止 SQL 注入的方式: 开启配置文件中的 magic_quotes_gpc 和 magic_quotes_runtime 设置 执行 sql 语句时使用 addslashes 进行 sql 语句转换 Sql 语句书写尽量不要省略双引号和单引号。 过滤掉 sql 语句中的一些关键词:update、insert、delete、selec
几种SQL注入insert,update,delete,`, \ 等。。。)
qq_42133828的博客
03-23 8060
insert注入: $sql = "insert into user(username,password) values('$username','$password',)"; payload: 适用于字符型: ' or updatexml(1,concat(0x7e,(database())),0) or ' 适用于数字型: ' or extractva...
SQL注入问题解决与Oracle性能优化实践
"《Oracle数据库性能优化》一书由盖国强、冯春培、叶梁、冯大辉编著,讲述了如何解决Oracle数据库的热点问题,尤其是SQL注入问题,并强调了性能优化的重要性。书中提到,热点问题通常源于不良SQL导致的不必要的数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值