JDBC--解决sql注入

最新推荐文章于 2022-10-31 08:58:07 发布
最新推荐文章于 2022-10-31 08:58:07 发布
阅读量425 收藏
点赞数
分类专栏: Java实战 Mysql实战 文章标签: sql注入 PreparedStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tian_qing_lei/article/details/73755573
版权

sql注入

由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,

达到改变SQL运行结果的目的,也可以完成恶意攻击

 

示例:

在输入用户名时  tom' or '1'='1

这时就不会验证密码了。

解决方案:

PreparedStatement(重点)

它是一个预处理的Statement,它是java.sql.Statement接口的一个子接口。

总结PreparedStatement使用:

1.sql语句中,使用"?"占位

String sql="select * from user where username=? and password=?";

2.得到PreparedStatement对象

PreparedStatement pst=con.prepareStatement(String sql);

3.对占位符赋值

pst.setXxx(int index,Xxx obj);

例如:

setInt()

setString();

参数index,代表的是"?"的序号.注意:从1开始。

 

4.执行sql

DMLpst.executeUpdate();

DQL:   pst.executeQuery();

注意:这两方法无参数

关于PreparedStatement优点:

1.解决sql注入(具有预处理功能)

2.不需要在拼sql语句。

缘定三石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【JAVA高级】——吃透JDBC中的SQL注入问题和解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBC中的SQL注入问题和解决方案
JDBC-防止SQL注入
m0_63144452的博客
10-25 971
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
JDBC解决SQL注入问题
MarconiYe的博客
04-04 878
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
jdbc——sql注入
m0_72960906的博客
10-31 949
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC中的SQL注入
DZH2020的博客
08-14 1125
JDBC中的SQL注入
JDBC编程——SQL注入问题以及解决方案
Best_Basic的博客
09-05 977
SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 解决SQL注入问题的方案: 只要用户提供的信息不参与sql语句的编译过程,问题就解决了。 即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 767
什么是SQL注入: 由于dao层中执行的SQL语句是拼接出来的,其中一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题。 SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
JDBC之【SQL注入
weixin_48485216的博客
04-16 1548
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBC中使用preparedStatement防止SQL注入
qq_43842093的博客
08-29 1355
一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输入账号和密码。 我们的代码中会有如下SQL语句: String sql="select * from user where account='"+account+"' and password='"+password+"'"; 情形1:(免账号登录) 账号:' or 1=1-- (--
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以防止SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
spring-jdbc-tips:Spring JDBC,SQL和Java
01-28
同时,Spring JDBC支持使用`PreparedStatement`来防止SQL注入,提高代码安全性。 此外,Spring JDBC还提供了异常处理机制。当数据库操作出错时,会抛出`DataAccessException`子类异常,如`SQLException`,这使得...
JDBC-and-SQL-test
03-26
3. **Statement/PreparedStatement**:`Statement`用于执行静态SQL语句,而`PreparedStatement`则用于执行预编译的SQL语句,它可以防止SQL注入攻击,并提高性能。 4. **ResultSet**:当执行查询时,结果通常会被...
fuzhouligong-jdbc-kongzhitai-wangshanggoushu
最新发布
01-01
4. **预编译SQL(PreparedStatement)**: 对于频繁执行的SQL语句,预编译能提高效率,减少SQL注入风险。通过设置占位符,可以方便地插入动态参数。 5. **结果集处理(ResultSet)**: 查询返回的结果存储在`...
MS-SQL jdbc 2.0
08-24
5. **Statement和PreparedStatement**: `Statement`用于执行静态SQL语句,而`PreparedStatement`则用于预编译SQL语句,提高性能,防止SQL注入攻击。 6. **批处理**: MS-SQL JDBC 2.0 支持批处理操作,允许一次性...
字节数组与整数的相互转化
tianqinglei的博客
07-28 5966
在工作的一些项目中,经常用到字节数组的整数的相互转化,现总结如下: package java.util; /** * 数据工具类 */ public class DataUtil { /** * 将整数转换成字节数组 */ public static byte[] int2ByteArr(int i){ byte[] bytes = new byte[4] ; byt
多线程案例----严格单例模式----和尚吃馒头问题
tianqinglei的博客
07-29 2561
在项目中,经常用到一种设计模式----单例模式,下面举一个小案例,说明线程安全的单例模式在多线程中的应用,以供学习参考:     和尚吃馒头: 100个馒头,30个和尚,每个和尚最少吃一个馒头,最多不超过4个馒头,保证上述条件的情况下, 尽快将馒头吃了! 要求是严格单例模式实现篮子类(存放馒头的容器)。 package java.thread; /** * */ public
生产消费中的死锁问题
tianqinglei的博客
07-29 1300
一个生产者,两个消费者,MAX=1, 有一个时刻,所有的线程都进入等待队列。 解决死锁问题,见以下代码: package java.thread; /** * 生产消费中的死锁问题 */ public class ThreadDemo6 { public static void main(String[] args) { //使用java中集合类,List是列表。 Pool1
文件归档与解档问题
tianqinglei的博客
07-29 1197
1在大数据开发中,或这一些项目中,经常遇到很多小文件的处理,为了减小namenode内存的占用,提高效率,经常将小文件压缩并归档处理,而在流的读取与写的操作的时候,归档后还需要解档,下面写一个工具类,实现文件的归档与解档: package java.io; import java.util.DataUtil; import java.io.File; import java.io.FileI
Java JDBC-ODBC 桥接驱动数据库编程实例
然而,需要注意的是,这样的字符串拼接方式容易受到SQL注入攻击,实际开发中应使用PreparedStatement来避免这个问题。此外,JDBC-ODBC桥在现代Java应用中已较少使用,更推荐直接使用数据库供应商提供的JDBC驱动进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值