JDBC如何防止SQL注入

最新推荐文章于 2023-09-16 17:58:10 发布
最新推荐文章于 2023-09-16 17:58:10 发布
阅读量699 收藏
点赞数
分类专栏: JDBC/XML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010200759/article/details/8820708
版权
package com.jtxx.finddata;
  
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement; 
import com.jtxx.util.ConnectionFactory;
  
public class FindDataDaoImpl implements FindDataDao {
     private Connection conn = null ;
     private PreparedStatement ps = null ;
     private ResultSet rs = null ;
     private Statement st = null ;
//  public ZhiYuan findData1(String name,String card) {
//      String sql = "select a002,a008,a046 from gzjbk z where z.a002='"+name+"' and z.a008='"+card+"'";
//      try {
//          conn = ConnectionFactory.getConnection();
//          st = conn.createStatement();
//          
//          rs = st.executeQuery(sql);
//          if (rs.next()) {
//              ZhiYuan info = new ZhiYuan();
//              info.setName(rs.getString(1));
//              info.setCard(rs.getString(2));
//              info.setAmount(rs.getBigDecimal(3));
//              return info;
//          }
//          
//      } catch (Exception e) {
//          e.printStackTrace();
//      } finally{
//          closeAll(conn,ps,rs);
//      }
//      return null;
//  }
     public ZhiYuan findData(String name,String card) {
         String sql = "select a002,a008,a046 from gzjbk z where z.a002=? and z.a008=?" ;
         try {
             conn = ConnectionFactory.getConnection();
             ps = conn.prepareStatement(sql);
             ps.setString( 1 , name);
             ps.setString( 2 , card);
             rs = ps.executeQuery();
             if (rs.next()) {
                 ZhiYuan info = new ZhiYuan();
                 info.setName(rs.getString( 1 ));
                 info.setCard(rs.getString( 2 ));
                 info.setAmount(rs.getBigDecimal( 3 ));
                 return info;
             }
              
         } catch (Exception e) {
             e.printStackTrace();
         } finally {
             closeAll(conn,ps,rs);
         }
         return null ;
     }
     public static void closeAll(Connection conn,PreparedStatement ps,ResultSet rs){
         try {
             if (rs!= null )rs.close();
         } catch (SQLException e) {
             e.printStackTrace();
         }
         try {
             if (ps!= null )ps.close();
         } catch (SQLException e) {
             e.printStackTrace();
         }
         try {
             if (conn!= null )conn.close();
         } catch (SQLException e) {
             e.printStackTrace();
         }
     }
}
CMMI8
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4982
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC | 第三章: SQL预编译与防注入CRUD操作
qq_39449880的博客
02-14 1796
SQL预编译与防注入CRUD操作
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 775
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
mybatis如何防止SQL注入
01-05
### MyBatis如何防止SQL注入 #### SQL注入简介与危害 SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段中(如表单、URL等),利用这些输入来操控数据库执行非预期的...
可注入SQL的代码、防止SQL注入
最新发布
04-17
下面是一个使用Java的JDBC进行数据库查询的例子,这个例子使用了参数化查询,从而有效防止SQL注入攻击: ```java String user = "your_username"; String pwd = "your_password"; String url = "jdbc:mysql://...
防止sql注入方法之预编译
波波豆奶
06-08 1031
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
【JavaEE基础学习打卡06】JDBC之进阶学习PreparedStatement!
编程火箭车(Coding Rocket)专注编程领域
08-24 1220
上篇文章我们学习了JDBC编程基本步骤,步骤中使用Statement执行SQL语句。其实还有一个更好的方式,就是PreparedStatement,预编译语句。与Statement相比有诸多优势,目前开发中一般使用PreparedStatement。所以我们非常有必要进行学习,而且日后的持久层框架底层也是使用PreparedStatement。
JAVA JDBC 防止SQL注入
福州大数据 hadoop学习
04-23 227
package org.jeecg.modules.common.util; import com.alibaba.fastjson.JSONObject; import java.sql.*; public class DbUtil { //定义mysql加载驱动,老版本的mysqljar包用的驱动参数时“com.mysql.jdbc.Driver”,新版的如下所示 private static final String driver = "com.mysql.jdbc.Driv.
JDBC-防止SQL注入
m0_63144452的博客
10-25 982
1、什么是sql注入。----->sql拼接安全问题。 由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,对数据安全造成影响 而Statement存在sql注入的问题:因为他的sql字符串拼接。 2、预防方案。 ----->使用PrepareStatement来进行sql得预编译。 PreparedStatement利用预编译的机制将sql语句的主干
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 528
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
防止SQL注入
weixin_33873846的博客
03-28 192
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
JDBC防止SQL注入加强
qq_51178489的博客
07-14 85
package com.chu.first; import java.sql.*; public class JDBC2 { public static void main(String[] args) throws SQLException { // Connection con; //不用try catch时不用放出来 // PreparedStatement pst; //注意这里有prepare 'd' Sta
JDBC:使用PreparedStatement防止SQL注入
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
jdbc动态条件查询防止sql注入的解决方案
devnn的专栏
01-05 4654
问题场景:这里的动态查询是指,select语句的某一个或多个查询条件是这种情况:不限或指定值。不限就是这个条件要去掉,指定值就是这个条件必须要。比如你会看到买房子的网站的查询选项是这样的: 地区:不限或北京、上海、…。(下拉选项) 类型:不限或二手房或新房。(下拉选项) 户型:不限或三室一厅、三室二厅、二室一厅、…。(下拉选项) 也可能还有更多的条件。分析:如果地区条件用户选不限,sql查询的whe
jdbc怎么防止sql注入
06-10
为了防止SQL注入攻击,我们可以采取以下措施: 1. 使用预处理语句:使用预处理语句可以有效地防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值