PreparedStatement对象替代Statement解决sql注入

最新推荐文章于 2022-10-08 16:08:34 发布
最新推荐文章于 2022-10-08 16:08:34 发布
阅读量311 收藏
点赞数
分类专栏: javaSE 数据库 文章标签: 数据库 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tc1106_site/article/details/74080108
版权

PreparedStatement对象替代Statement解决sql注入


使用非法SQL语句(如' or 1==1 or '),

利用Statement对象的缺点,从而非法操作数据库表的行为,叫SQL注入。

public static void main(String[] args) throws Exception{

try{

DriverManager.registerDriver(new Driver());

         //URL,数据库用户名,密码

Connection conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/jdbc","root","root");

String sql = "select id,name,sal from users where name = ?";

PreparedStatement pstmt = conn.prepareStatement(sql);

//?占位符设置值

//?只能代替实际值,不能代替表名,列名

//?从左向右,第一个?号为1,第二个?号为2,依次类推

pstmt.setString(1,name);

ResultSet rs = pstmt.executeQuery();

while(rs.next()){

int id = rs.getInt("id");

name = rs.getString("name");

int sal = rs.getInt("sal");

System.out.println(id);

System.out.println(name);

System.out.println(sal);

System.out.println("------------------------");

}

}catch(Exception e){

e.printStackTrace();

throw e;

}finally{

JdbcUtil.close(conn);

JdbcUtil.close(pstmt);

JdbcUtil.close(rs);

}

}


TaiChuan_W
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 实现连接sql server 2000
09-06
此外,为了提高性能和安全性,建议使用 PreparedStatement 替代 Statement,以防止 SQL 注入攻击,并进行参数绑定。 总的来说,JDBC 是 Java 与数据库交互的核心工具,提供了强大的数据库访问能力,无论是简单的...
sqljdbc_1.2
10-25
`Statement`用于执行静态SQL,而`PreparedStatement`则用于预编译的SQL,能提高性能并防止SQL注入。 5. **处理结果集**:执行查询后,会返回一个`ResultSet`对象,从中可以迭代获取查询结果。例如: ```java ...
验证preparedStatement防止SQL注入
08-30 5135
mysql> select * from t_u -> ; +----+----------+------+------+ | id | username | pwd | age | +----+----------+------+------+ | 1 | zs | test | 22 | +----+----------+------+------+ 1 row
使用PreparedStatement代替Statement
kitahiragawa的博客
12-27 388
import java.sql.*; import java.sql.Connection; import java.sql.DriverManager; public class PrepareStToSolveInject{ public static void main(String[] args) throws ClassNotFoundException,SQLException{ String url = "jdbc:mysql://localhost:3306/sc
使用PreparedStatement执行sql语句
旺旺的博客
05-25 2670
PreparedStatementStatement 的子接口使用Statement执行sql语句的话,不能用占位符代替变量,要靠字符串的拼写。这样的话很麻烦而PerparedStatement的话,提供了占位符然后也提供了方法来设置占位符的值方法 :setXxx(int index,Object value);             index 从1开始。...
JDBC进阶之PreparedStatement执行SQL语句(MySQL)
weixin_34018169的博客
10-20 248
一、什么是PreparedStatement           参阅Java API文档,我们可以知道,PreparedStatementStatement的子接口(如图所示),表示预编译的 SQL 语句的对象SQL 语句被预编译并存储在PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。     二、通过PreparedStatement获取在运...
使用PreparedStatement来替换Statement,实现对数据表的增删改查操作
weixin_45925146的博客
10-08 349
使用PreparedStatement来替换Statement,实现对数据表的增删改查操作
java sql server2005 驱动包
05-29
在实际开发中,为了提高性能和代码的健壮性,通常会使用PreparedStatement和CallableStatement,它们能预编译SQL语句,减少解析时间,并且可以防止SQL注入攻击。 总之,Java SQL Server 2005驱动包是Java开发者与...
SQL语句填充占位符
04-22
2. **防止SQL注入**:PreparedStatement会自动转义参数,有效防止恶意SQL注入攻击。 3. **易于维护**:静态SQL模板使得代码更清晰,易于理解和调试。 此外,还有一些第三方库,如MyBatis和Hibernate,提供了更高级...
java jdbc sql server2000 驱动包
11-12
- **创建Statement或PreparedStatement**:创建用于执行SQL语句的对象Statement用于简单查询,PreparedStatement用于预编译的SQL语句,提高性能并防止SQL注入攻击。 - **执行SQL**:调用Statement或...
在JDBC中使用PreparedStatement代替Statement,同时预防SQL注入
weixin_30533797的博客
03-13 190
  本篇讲诉为何在JDBC操作数据库的过程中,要使用PreparedStatement对象来代替Statement对象。   在前面的JDBC学习中,对于Statement对象,我们已经知道是封装SQL语句并发送给数据库执行的功能,但是实际开发中,这个功能我们更经常用的是Statement类的子类PreparedStatement类的对象来实现,而不是采用Statement对象。   Stat...
MySQL Connector/C++入门教程(上)
热门推荐
06-10 2万+
使用C++操作台MySQL。MySQL connector/C++ Driver比ADO好用。
PreparedStatement对象来实现JDBC增删改查
weixin_39944884的博客
07-19 1773
一. PreparedStatementStatement的区别 1.不需要sql语句拼接,防止sql注入,更加安全 2.用占位符的方式写sql,便于后期维护,提高代码可读性,可以自动对类型进行转换 3.有预编译功能,可以大批量处理sql,(mysql不明显,Oracle很明显) 4.向数据库中添加一条数据 5.PreparedStatement:用于执行sql语句的对象 6.用co...
Statement的注入问题浅谈
Stan的专栏
03-22 366
前天有人问我说,我知道用Statement可能会产生注入问题,但是啥是注入问题?其实我知道他了解过,但是现在忘记了….. 谁说不是呢,我也是有些遗忘了,我就知道如果在sql语句后直接拼接条件,是可能产生注入问题 ,当然了如果你设置的条件是你想要,肯定不会出现注入问题的 话不多说,既然说到了注入问题,就去看看这个传说中的“注入问题”…. 先让问题暴露出来,看下面的代码: 现在是这样,假设现...
[SWPUCTF 2021 新生赛]sql 关于sql的注入替换
qq_62046696的博客
05-16 2233
打开界面,看见参数是wllm,测试一下是否存在sql注入,首先?wllm=1回显正确,wllm=1'错误存在字符型注入,然后输入人?wllm='1 %23报错发现空格被掠过,然后%23是#的编码。 /**/是空格的一个格式,发现一共有三列 然后测试了一下,=号果不其然也被略过,like可以顶替等于号 构造? url=wllm=-1'union/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/*
如何用PreparedStatement来执行sql语句【通过事务】
FANGJIANQIN的博客
07-17 573
关于如何用PreparedStatement来执行sql语句【通过事务】?其实非常简单 1、准备好一个Connection 2、准备好一个你需要保存的对象【举例:Customer客户对象】 下面就可以开始正式工作: [code="java"] public void addCustomerByCommit(Connection conn , Customer customer) {...
java sql注入 正则_Java-java程序防止sql注入方法
weixin_39580564的博客
02-15 1034
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:String sql= "select * from users where username=? and password=?;PreparedStatement preState = conn.prepareStatement(sql);preState.setString(1, userName...
利用jdbc到数据库验证实现用户登录,封装工具类jdbcutil和dbhelper,用preparedstatement代替statement(防止sql注入漏洞),用sun.misc.base64编码对用户输入的密码进行md5加密,配合使用单元测试junit工具; 配置数据源(dbcp或c3p0),写出系统的注册部分,利用正则表达式对用户填写的信息进行两次验证。
最新发布
06-06
这是一段关于使用 JDBC 访问数据库进行用户登录验证的程序代码,其中进行了防止 SQL 注入漏洞的措施,使用了 PreparedStatement 替代 Statement,用户输入的密码进行了 MD5 加密。此外,程序还配合使用了单元测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值