sql注入的问题,PreparedStatement

最新推荐文章于 2024-03-31 16:11:18 发布
最新推荐文章于 2024-03-31 16:11:18 发布
阅读量286 收藏
点赞数
分类专栏: other 
package cn.itcast.jdbc;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQLInject {

    public static void main(String[] args) throws SQLException {
        read("lisi");
        System.out.println("-----------------------");
        read("'or 1 or'"); // sql注入,or是sql关键字,1表示真,会查询出全部结果
    }

    static void read(String name) throws SQLException {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null; 

        try {
            conn = JdbcUtils.getConnection();

            st = conn.createStatement();

            String sql = "select id,name,birthday,money from user where name='"
                    + name + "'";

            rs = st.executeQuery(sql);

            while (rs.next()) {
                System.out.println("id:" + rs.getObject("id") + "\tname:"
                        + rs.getObject("name") + "\tbirthday:"
                        + rs.getObject("birthday") + "\tmoney:"
                        + rs.getObject("money"));
            }

        } finally {
            JdbcUtils.free(rs, st, conn);
        }
    }
}

为解决这个问题可以使用PreparedStatement解决

package cn.itcast.jdbc;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class SQLInject {

    public static void main(String[] args) throws SQLException {
        read("lisi");
        System.out.println("-----------------------");
        read("'or 1 or'"); //现在这个查询不到结果
    }

    static void read(String name) throws SQLException {
        Connection conn = null;
        PreparedStatement ps = null;    //预处理的查询语句,过滤掉特殊字符,避免sql注入;PreparedStatement速度比Statement更快一些
        ResultSet rs = null;

        try {
            conn = JdbcUtils.getConnection();

            String sql = "select id,name,birthday,money from user where name=?";
            ps = conn.prepareStatement(sql);
            ps.setString(1, name);      

            rs = ps.executeQuery();

            while (rs.next()) {
                System.out.println("id:" + rs.getObject("id") + "\tname:"
                        + rs.getObject("name") + "\tbirthday:"
                        + rs.getObject("birthday") + "\tmoney:"
                        + rs.getObject("money"));
            }

        } finally {
            JdbcUtils.free(rs, ps, conn);
        }
    }
}

工具类JdbcUtils

xiueer
关注
专栏目录
SQL注入及PreparedStatement
qq_52722789的博客
01-12 458
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2675
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1391
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
SQL注入以及PreparedStatement对象详解
weixin_46377946的博客
03-31 249
什么是SQL注入sql存在漏洞,会被攻击导致数据泄露。SQL会被拼接百度百科详解SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此实现数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。代码实现。
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1586
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
防止SQL注入利用 preparedStatement机制
Big_sky的博客
09-24 458
防止SQL注入利用 preparedStatement 机制 什么是SQL? 结构化查询语言(Structured Query Language)简称SQL,是一种特殊目的的编程语言,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理。 为什么要防止SQL注入? SQL语法允许数据库命令和用户数据混杂在一起的,这给数据库操作带来方便的同时也带来了安全隐患, 如果开发人员...
通过PreparedStatement预防SQL注入
jakelihua
11-25 652
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
SQL注入问题&&PreparedStatement
详情请看注释
11-27 910
SQL注入问题 我们来看账号登录程序(点击)的代码,我们表中的数据为: 我们运行输入如下数据: 竟然运行成功了。 我们思考,上面输入的数据用户名一看就是瞎写的,但是密码看起来貌似和很有章法,or 和单引号都容易让我们想到sql语句中的判断语句 所以我们观察代...
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
sjs52406的博客
12-02 1997
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 3008
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
在IT领域,尤其是在Java编程中,SQL注入是一个重要的安全问题,而PreparedStatement是解决这一问题的有效手段之一。批量插入则是提高数据库操作效率的关键技术。今天我们就来深入探讨这些知识点。 首先,我们来理解...
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
08-07
在IT领域,尤其是在Java编程中,SQL注入是一个重要的安全问题,而PreparedStatement是解决这一问题的有效手段之一。批量插入则是提高数据库操作效率的关键技术。今天我们将深入探讨这两个知识点。 首先,让我们来...
用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 732
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
Alibaba-Dragonwell-Standard-21.0.4.0.4.7-aarch64-linux.tar
11-11
基于OpenJDK开发的开源JDK,支持国内环境加密 解决maven下载不了,提示加解密失败的问题 Alibaba_Dragonwell_Standard_21.0.4.0.4.7_aarch64_linux.tar
【Unity游戏框架】Prodigy Game Framework快速搭建游戏原型
最新发布
11-11
文件名:Prodigy Game Framework_22.6.2 (20 Jun 2022).unitypackage Prodigy Game Framework 是一个强大的 Unity 游戏框架插件,专门为需要快速搭建游戏原型的开发者设计,适用于多种类型的游戏项目。它不仅包含大量核心系统,还提供了一些通用的游戏功能模块,帮助开发者加快游戏开发进度,同时保持代码和架构的灵活性。以下是 Prodigy Game Framework 的主要特点和功能: 1. 模块化游戏框架 Prodigy Game Framework 提供了模块化的游戏架构,允许开发者根据需求添加或移除不同功能模块。每个模块都是独立的,便于管理和扩展。 框架经过精心设计,以适应各种类型的游戏项目,从单人冒险到多人联网游戏都能轻松实现。 2. 场景管理 插件带有场景管理工具,可以轻松管理场景加载、卸载以及跨场景的数据传递,保证游戏的流畅切换。 支持场景内存优化、异步加载和场景过渡效果,有助于在不同平台上实现最佳性能。 3. 任务与成就系统 内置的任务系统可以让开发者为游戏添加多样化的任务,比如主线任务..
com.harmonyos4.exception.LoadBalancerFailureException.md
11-11
鸿蒙开发中碰到的报错,问题已解决,写个文档记录一下这个问题及解决方案
Eclipse代码注释模版-codetemplates.xml
11-11
Eclipse代码注释模版-codetemplates
PD虚拟机激活,先下载正版软件在启动这个即可完美激活
11-11
PD虚拟机激活,先下载正版软件在启动这个即可完美激活
Java使用PreparedStatement与Filter防止SQL注入
4. 使用ORM框架:像Hibernate、MyBatis等ORM(对象关系映射)框架在处理数据库操作时,提供了安全的API,能够自动处理SQL注入问题。这些框架通常会使用PreparedStatement或等效机制来执行SQL,因此在大多数情况下,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值