JDBC如何有效防止SQL注入

最新推荐文章于 2024-03-14 02:08:59 发布
最新推荐文章于 2024-03-14 02:08:59 发布
阅读量9.2k 收藏 11
点赞数
分类专栏: Java学习笔记 文章标签: 数据库 jdbc sql注入 防止 web表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linglongxin24/article/details/53769810
版权

转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810
本文出自【DylanAndroid的博客】

JDBC如何有效防止SQL注入

在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,
那么,什么是SQL注入,以及如何防止SQL注入的问题。

一什么是SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.

二.先看一下数据表中的数据

1. 查询代码:
     /**数据库表名**/
    String tableName = "emp_test";

   /**先查看一下数据库当中的表数据**/
     DBUtil.query(tableName, null);
2. 查询结果:

 SELECT  * FROM emp_test
 成功查询到了14行数据
 第1行:{DEPT_TEST_ID=10, EMP_ID=1001, SALARY=10000, HIRE_DATE=2010-01-12, PASSWORD=123456, BONUS=2000, MANAGER=1005, JOB=Manager, NAME=张无忌}
 第2行:{DEPT_TEST_ID=10, EMP_ID=1002, SALARY=8000, HIRE_DATE=2011-01-12, PASSWORD=123456, BONUS=1000, MANAGER=1001, JOB=Analyst, NAME=刘苍松}
 第3行:{DEPT_TEST_ID=10, EMP_ID=1003, SALARY=9000, HIRE_DATE=2010-02-11, PASSWORD=123456, BONUS=1000, MANAGER=1001, JOB=Analyst, NAME=李翊}
 第4行:{DEPT_TEST_ID=10, EMP_ID=1004, SALARY=5000, HIRE_DATE=2010-02-11, PASSWORD=123456, BONUS=null, MANAGER=1001, JOB=Programmer, NAME=郭芙蓉}
 第5行:{DEPT_TEST_ID=20, EMP_ID=1005, SALARY=15000, HIRE_DATE=2008-02-15, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=President, NAME=张三丰}
 第6行:{DEPT_TEST_ID=20, EMP_ID=1006, SALARY=5000, HIRE_DATE=2009-02-01, PASSWORD=123456, BONUS=400, MANAGER=1005, JOB=Manager, NAME=燕小六}
 第7行:{DEPT_TEST_ID=20, EMP_ID=1007, SALARY=3000, HIRE_DATE=2009-02-01, PASSWORD=123456, BONUS=500, MANAGER=1006, JOB=clerk, NAME=陆无双}
 第8行:{DEPT_TEST_ID=30, EMP_ID=1008, SALARY=5000, HIRE_DATE=2009-05-01, PASSWORD=123456, BONUS=500, MANAGER=1005, JOB=Manager, NAME=黄蓉}
 第9行:{DEPT_TEST_ID=30, EMP_ID=1009, SALARY=4000, HIRE_DATE=2009-02-20, PASSWORD=123456, BONUS=null, MANAGER=1008, JOB=salesman, NAME=韦小宝}
 第10行:{DEPT_TEST_ID=30, EMP_ID=1010, SALARY=4500, HIRE_DATE=2009-05-10, PASSWORD=123456, BONUS=500, MANAGER=1008, JOB=salesman, NAME=郭靖}
 第11行:{DEPT_TEST_ID=null, EMP_ID=1011, SALARY=null, HIRE_DATE=null, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=于泽成}
 第12行:{DEPT_TEST_ID=null, EMP_ID=1012, SALARY=null, HIRE_DATE=2011-08-10, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=amy}
 第13行:{DEPT_TEST_ID=null, EMP_ID=1014, SALARY=8000, HIRE_DATE=null, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=张无忌}
 第14行:{DEPT_TEST_ID=20, EMP_ID=1015, SALARY=null, HIRE_DATE=null, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=刘苍松}

三.模拟登录,演示SQL注入

1. 模拟登录伪代码
            /**用户输入的用户名**/
             String name = "'1' OR '1'='1'";
             /**用户输入的密码**/
             String password = "'1' OR '1'='1'";

             /**我们拼SQL语句去查询**/
             String sql = "SELECT * FROM emp_test WHERE name = " + name + " and password = " + password;
             DBUtil.query(sql);
 ```

###### 2. 查询结果

  ```java
  SELECT * FROM emp_test WHERE name = '1' OR '1'='1' and password = '1' OR '1'='1'
  成功查询到了14行数据
  第1行:{DEPT_TEST_ID=10, EMP_ID=1001, SALARY=10000, HIRE_DATE=2010-01-12, PASSWORD=123456, BONUS=2000, MANAGER=1005, JOB=Manager, NAME=张无忌}
  第2行:{DEPT_TEST_ID=10, EMP_ID=1002, SALARY=8000, HIRE_DATE=2011-01-12, PASSWORD=123456, BONUS=1000, MANAGER=1001, JOB=Analyst, NAME=刘苍松}
  第3行:{DEPT_TEST_ID=10, EMP_ID=1003, SALARY=9000, HIRE_DATE=2010-02-11, PASSWORD=123456, BONUS=1000, MANAGER=1001, JOB=Analyst, NAME=李翊}
  第4行:{DEPT_TEST_ID=10, EMP_ID=1004, SALARY=5000, HIRE_DATE=2010-02-11, PASSWORD=123456, BONUS=null, MANAGER=1001, JOB=Programmer, NAME=郭芙蓉}
  第5行:{DEPT_TEST_ID=20, EMP_ID=1005, SALARY=15000, HIRE_DATE=2008-02-15, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=President, NAME=张三丰}
  第6行:{DEPT_TEST_ID=20, EMP_ID=1006, SALARY=5000, HIRE_DATE=2009-02-01, PASSWORD=123456, BONUS=400, MANAGER=1005, JOB=Manager, NAME=燕小六}
  第7行:{DEPT_TEST_ID=20, EMP_ID=1007, SALARY=3000, HIRE_DATE=2009-02-01, PASSWORD=123456, BONUS=500, MANAGER=1006, JOB=clerk, NAME=陆无双}
  第8行:{DEPT_TEST_ID=30, EMP_ID=1008, SALARY=5000, HIRE_DATE=2009-05-01, PASSWORD=123456, BONUS=500, MANAGER=1005, JOB=Manager, NAME=黄蓉}
  第9行:{DEPT_TEST_ID=30, EMP_ID=1009, SALARY=4000, HIRE_DATE=2009-02-20, PASSWORD=123456, BONUS=null, MANAGER=1008, JOB=salesman, NAME=韦小宝}
  第10行:{DEPT_TEST_ID=30, EMP_ID=1010, SALARY=4500, HIRE_DATE=2009-05-10, PASSWORD=123456, BONUS=500, MANAGER=1008, JOB=salesman, NAME=郭靖}
  第11行:{DEPT_TEST_ID=null, EMP_ID=1011, SALARY=null, HIRE_DATE=null, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=于泽成}
  第12行:{DEPT_TEST_ID=null, EMP_ID=1012, SALARY=null, HIRE_DATE=2011-08-10, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=amy}
  第13行:{DEPT_TEST_ID=null, EMP_ID=1014, SALARY=8000, HIRE_DATE=null, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=张无忌}
  第14行:{DEPT_TEST_ID=20, EMP_ID=1015, SALARY=null, HIRE_DATE=null, PASSWORD=123456, BONUS=null, MANAGER=null, JOB=null, NAME=刘苍松}

通过上面的操作我们发现,这根本就不是我们想要的结果,这样的话,随便一个人都能够登录成功了,那么如何去避免这种事情呢?

四.模拟登录,防止SQL注入

1. 模拟登录伪代码
     /**用户输入的用户名**/
               String name = "'1' OR '1'='1'";
               /**用户输入的密码**/
               String password = "'1' OR '1'='1'";

              /**我们用参数绑定去查询**/
               String where = "name = ?  AND password = ? ";
               String[] whereArgs = new String[]{name, password};
               DBUtil.query("emp_test", where, whereArgs);
2. 查询结果
  /**这条语句只是为了方便调试自己代印的语句,并不是PreparedStatement真正执行的SQL语句**/
    SELECT  * FROM emp_test WHERE name = '1' OR '1'='1'  AND password = '1' OR '1'='1'
    成功查询到了0行数据

通过参数绑定预编译的方案我们就可以有效的避免这种情况的发生。

五.GitHub

DylanAndroid
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hibernate使用防止SQL注入的几种方案
01-20
Hibernate使用防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。     在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:     1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“name”,name);     2.对参数位置进行邦定: Query query=session.createQuery(hql);
在使用jdbc的时候,如何防止出现sql注入的问题
qq_65951398的博客
05-30 1258
避免动态拼接 SQL 语句:避免将用户输入直接拼接到 SQL 语句,尤其是在没有充分验证和处理输入的情况下。使用哈希函数和加盐(Salt)来对密码进行加密,并将加密后的密码存储在数据库。在验证用户输入的密码时,对用户输入进行相同的哈希和加盐操作,然后将其与数据库存储的哈希值进行比较。通过限制数据库用户的权限,可以减少攻击者对数据库的潜在危害。输入验证和过滤:在接受用户输入之前,对输入进行验证和过滤是非常重要的。需要注意的是,以上措施可以大大减少 SQL 注入的风险,但不能完全消除风险。
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
m0_61331573的博客
03-14 341
使用PreparedStatement pst = con.prepareStatement(sql):调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//4、调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类。//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败。执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败。
5. MySQL - JDBC & SQL 注入 &博客系统(万字详解)
qq_58969626的博客
07-14 1812
JDBC 的介绍;如何通过 JDBC 连接数据库;什么是 SQL 注入;通过 JDBC 实现简单的博客系统。
jdbc sql 参数防止sql注入_如何防止sql注入?介绍5种防止sql注入的方法
weixin_36038435的博客
02-03 917
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 521
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 8141
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效防止它。在Java项目,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 4571
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
JDBC 预防sql注入问题与解决方法[PreparedStatement]
心态的博客
05-24 732
JDBC 预防sql注入问题与解决方法[PreparedStatement]登录页面必会基础
JDBC如何有效防止SQL注入
12-14
 那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,终达到欺骗服务器执行恶意的SQL命令。具体来说,它...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
JDBC的常用方法
12-14
1.防止SQL注入 我们在写sql语句时,为了方便可能会进行拼接字符串,这样做的弊端就是可能被sql注入攻击,解决的办法也很简单。 //获取数据库连接 Connection connection = DBUtils.getConnection(); //在写sql语句时...
JSP+SERVLET+JDBC开发的图书管理系统,web安全作业,简单实现了密码MD5存储、防止XSS、SQL注入.zip
07-24
基于java+servlet,mysql实现web系统,适合应用于毕业设计,课程设计作业,系统均完全测试通过,可直接运行! 基于java+servlet,mysql实现web系统,适合应用于毕业设计,课程设计作业,系统均完全测试通过,可直接...
JDBC批量插入数据优化,使用addBatch和executeBatch
热门推荐
DylanAndroid
12-22 2万+
JDBC批量插入数据优化,使用addBatch和executeBatch 在之前的玩转JDBC打造数据库操作万能工具类JDBCUtil,加入了高效的数据库连接池,利用了参数绑定有效防止SQL注入 其实忽略了一点,那就是SQL的批量插入的问题,如果来个for循环,执行上万次,肯定会很慢,那么,如何去优化呢? 一.用 preparedStatement.addBatch()配合prepa
玩转JDBC打造数据库操作万能工具类JDBCUtil,加入了高效的数据库连接池,利用了参数绑定有效防止SQL注入
DylanAndroid
12-20 1万+
玩转JDBC打造数据库操作万能工具类JDBCUtil,加入了高效的数据库连接池,利用了参数绑定有效防止SQL注入 在之前学习了MySQL和Oracle之后,那么,如和在Java种去连接这两种数据库。在这个轻量级的工具类当,使用了数据库连接池 去提高数据库连接的高效性,并且使用了PreparedStatement来执行对SQL的预编译,能够有效防止SQL注入问题。 一.准备在配置文件配置:
Java多线程之并发安全经典案例-卖票
DylanAndroid
10-14 1万+
线程相关知识 1.创建线程的两种方式 继承Thread类。 实现Runnable接口。(这种方式较为常用) 2.实现Runnable接口的好处 将线程的任务从线程的子类分离出来,进行了单独的封装。按照面向对象的思想将任务的封装成对象。 避免了java单继承的局限性。 多线程并发安全之卖票 代码 /** * Created by yuandl on 2016-
Java递归算法应用
DylanAndroid
10-19 6033
递归: 就是函数自身调用自身。 什么时候用递归呢? 当一个功能被重复使用,而每一次使用该功能时的参数不确定,都由上次的功能元素结果来确定。 简单说: 功能内部又用到该功能,但是传递的参数值不确定。(每次功能参与运算的未知内容不确定)。 递归的注意事项: 1:一定要定义递归的条件。 2:递归的次数不要过多。容易出现 StackOverflowError 栈内存
jdbc怎么防止sql注入
06-10
1. 使用预处理语句:使用预处理语句可以有效防止SQL注入攻击。预处理语句是在执行SQL语句之前将SQL语句和参数分开处理,从而消除了SQL注入攻击的风险。 2. 使用参数化查询:参数化查询是一种将用户输入的数据与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值