JavaWeb学习-JDBC系列-10-SQL注入问题和PreparedStatement对象

最新推荐文章于 2022-11-10 15:09:43 发布
最新推荐文章于 2022-11-10 15:09:43 发布
阅读量439 收藏 2
点赞数 1
分类专栏: Anthony的JavaWeb学习记录 文章标签: JDBC SQL注入 PreparedStatement解决SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011541946/article/details/89602352
版权

前面我们用JDBC模拟了一个用户登录的问题,看起来很棒,没有什么问题,是不是。其实,知道sql注入问题的人就会发现这个代码这样写是不对的,百分百引发sql注入问题。本篇来学习什么是SQL注入问题和如何解决这个问题。

1.什么是SQL注入问题

现在代码还是前面一篇的代码,我们再次运行Login.java这个main方法,看看下面我是如何输入的

请输入用户名:
asdf
请输入密码:
asdf' or '1'='1

欢迎回来,Lucy

这里我们明明输入了一个不存在的用户asdf,密码这个输入就有讲究,sql注入就出现在这里。这里看看我如何解释这个sql注入,为什么会打印 欢迎回来,Lucy.

先贴出我表的全部内容。

关键出问题代码

String sql = "SELECT * FROM student WHERE Name='"+ username +"' AND pwd='"+ password +"'";

在上面我们sql语句中使用了'变量名'的格式来表示这里有一个变量需要引用。这里我们用户名是asdf,密码是asdf' or '1'='1, 我们把这两个变量的值替代到sql语句中去,结果是这样的。

String sql = "SELECT * FROM student WHERE Name='asdf' AND pwd='asdf' or '1'='1'";

注意我密码为什么要写成asdf' or '1'='1,看起来前后都丢了一个单引号。没错,证书前后丢了单引号,导致上面这行sql语句其实变成了三个逻辑条件的语句:

String sql = "SELECT * FROM student WHERE Name='asdf'
 AND pwd='asdf'
 or '1'='1'";

上面三个表达式语句,前面两个查询的结果不存在。关键在于第三个表达式 or 表示或的逻辑关系,后面1=1这个肯定返回true,所以不管前面两个表达式结果返回false,加上了or后面的1=1,这个sql语句实际上返回结果是true。一旦返回为true,那么结果集对象rs就有next()方法,也就是这里查询的第一行数据,刚好我们表中第一行数据的用户名是Lucy,所以这个打印“欢迎回来,Lucy”, 就是这么来的。

这个过程就是SQL注入攻击,你看看随便输入一个用户名和密码,就查询到了我们数据表中的用户名这个信息。如果这个信息拿出来去做其他的分析和碰撞,黑客很可能拿到这个用户的密码。这样用户信息就泄露了,带来了安全问题。

 

2.使用PreparedStatement解决sql注入问题

既然这个sql注入问题大家都知道,那么肯定有解决办法。所以,这里学习一个新的对象PreparedStatement,看到这个对象名称,我们很容易想起Statement对象。没错,两个对象是有关系的,PreparedStatement是Statement的子类,而且PreparedStatement使用有下面特点:

1. 性能要比Statement高
2. 会把SQL语句先编译
3. SQL语句中的参数会发生变化,过滤掉用户输入的关键字,例如我们前面sql注入的or这个关键字

使用PreparedStatement修改DoLogin.java内容。

package com.anthony.login;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

import com.anthony.utils.DBUtils;

public class DoLogin {
	
	public Student findUser(String username, String password) {
		Connection conn = null;
		PreparedStatement stmt = null;
		ResultSet rs = null;
		Student s = null;
		try {
			conn = DBUtils.getConnection();
			String sql = "SELECT * FROM student WHERE Name=? AND pwd=?";
			stmt = conn.prepareStatement(sql);
			//给SQL中的?赋值,有几个?就要写几个设置语句。 ?在这里是占位符的作用
			stmt.setString(1, username);
			stmt.setString(2, password);
			rs = stmt.executeQuery();
			
			if(rs.next()) {
				s = new Student();
				s.setName(rs.getString("Name"));
				s.setAge(rs.getInt("Age"));
				s.setGender(rs.getString("Gender"));
				s.setId(rs.getInt("ID"));
				s.setPassword(rs.getString("pwd"));
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
		return s;
	}

}

上面注意这几行代码,看看我写的注释也就明白了,这里问号是占位符的作用,SQL语句提前进行了编译和过滤。

String sql = "SELECT * FROM student WHERE Name=? AND pwd=?";
stmt = conn.prepareStatement(sql);
//给SQL中的?赋值,有几个?就要写几个设置语句。 ?在这里是占位符的作用
stmt.setString(1, username);
stmt.setString(2, password);
rs = stmt.executeQuery();

测试下效果

请输入用户名:
asdf
请输入密码:
asdf' or '1'='1

用户名或密码错误!

我们本来还是想利用前面的sql注入写法,结果却是不行,使用了PreparedStatement对象之后,sql先进行了编译和过滤关键字,所以用户还是老老实实去写正确用户名和密码,别耽误时间去找这个sql注入攻击的漏洞。

Anthony_tester
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JavaWebSQL注入的方法
08-13
SQL注入漏洞是Web应用经常出现的安全问题,本文提出了在JSP开发如何防范SQL注入的方法,以及使用ORM框架Hibernate防范SQL注入的方法。
Java-JDBC-PreparedStatementSQL注入
gaogzhen的博客
06-18 179
Java-JDBC-PreparedStatementSQL注入 目录 文章目录1、登录案例2、SQL注入3、PreparedStatement***后记*** : 内容 1、登录案例 需求:输入用户名和密码,如果用户名和密码同数据库存储的用户名和密码相同,则运行登录,否则不允许登录 步骤: 创建login表 username字段 password字段 create table login( id int primary key auto_increment,
JavaWeb JDBC—PreparedStatement对象
来自师范的学渣
10-21 879
PreparedStatement对象可以对SQL语句进行预编译,预编译的信息会存储在PraparedStatement对象。当相同的sql语句再次执行时,程序就会使用preparedstatement对象的语句, 在web-chapter09项目cn.itheima.jdbc创建一个名为Example02的的类,在该类使用PreparedStatement对象对数据库进行插入数据的...
设置Connection ResultSet PreparedStatement设置为null的原因
知迷鸟的博客
10-08 2584
不知道大家有木有想过在调用抽取工具类的时候首先要摆出这样的模板; Connection conn=null; ResultSet rs=null; PreparedStatement st=null; 为什么呢? 个人理解 假如你这些对象没有被引用,一旦对象多,超过几千个来访问数据库每次都不释放用不了多久服务器就不行了吧 so解决办法就...
preparedStatement = (PreparedStatement)connection.prepareStatement(sql); 出现空指针报错
sdududu的博客
07-05 4032
在刚上手写JDBC时,总是出现很多错误 下面是我的源代码: 在UserDAO.java 在点击登录的时候,给我出现了空指针的报错 我搜了百度,有好多种方法,我都尝试了一下。 有一种方法对我很有用,就是在Tomcat的lib下,加入你的jar包 虽然,我之前有在项目的lib下加入jar包,但是感觉Tomcat发现不到。我是新手,我也不知道为什么,大家可以尝试一下这个方法 ...
javaweb学习总结——使用JDBC处理MySQL大数据
09-01
本篇文章聚焦于使用JDBC处理MySQL的大数据,特别是涉及大文本(CLOB)和二进制大对象(BLOB)的存储。 一、基本概念 在数据库,BLOB类型被用来存储非结构化的二进制数据,如图片、音频文件或PDF文档。MySQL...
08-JavaWEB面试题(19题)-新增.pdf
11-17
Statement 容易被 SQL 注入,而 PreparedStatement 传入的内容不会和 SQL 语句发生任何匹配关系。 三、关系数据库连接池的机制 1. 为数据库连接建立一个缓冲池。 2. 从连接池获取或创建可用连接。 3. 使用完毕...
JavaWeb拾遗(7)JDBC Statement PreparedStatement CLOB/BLOB大型数据存储
01-19
JDBC JDBC(Java Database Connectivity)可以...SqlServer sqljdbc-x.jar API: 1.DriverManager 管理驱动 要先加载数据库驱动: 装载MySql驱动:Class.forName(“com.mysql.jdbc.Driver”); 装载Oracle驱动:Class.for
Java-web-常用代码.doc-综合文档
05-21
- **PreparedStatement**:预编译的SQL语句可以防止SQL注入攻击,且性能更优,因为数据库只需解析一次SQL。 - **异常处理**:良好的异常处理是Java Web开发的重要部分,确保程序的健壮性。 这些基本的JDBC操作...
javaweb使用JDBC对数据库进行CRUD.doc
06-03
在实际应用,为了提高代码的可读性和可维护性,通常会使用PreparedStatement来代替Statement,因为PreparedStatement可以预编译SQL,提高执行效率,并能防止SQL注入。 接下来,我们来看看使用JDBC进行数据库操作...
PreparedStatement预编译的sql执行对象
weixin_30563319的博客
09-27 267
一、预编译,防sql注入,设置参数值占位符索引从1开始;在由sql 连接对象创建 sql执行对象时候传入参数sql语句,在执行对象在执行方法时候就不用再传入sql语句; 数据库索引一般是从1开始,java对象一般是从0开始; java代码方法subString(2,5)是左闭右开区间,数据库subString(str, 5) 是从5开始截取...
连接mysql数据库报null_myEclipse连接mysql数据库时出现错误,解决如下
weixin_31759829的博客
01-19 888
本人菜鸟一枚~~~调试如此简单的代码还调了一天,发出来纪念一下,当然更希望能帮助到大家。finalStringDBDRIVER=“org.gjt.mm.mysql.Driver”;finalStringDBURL="jdbc:mysql://localhost:3306/mldn";finalStringDBUSER="root";finalStringDBPASS="**...
jdbc连接数据库示例
The Art Of Java ...
09-17 833
java.sql.DriverManager用来装载驱动程序,获取数据库连接。 java.sql.Connection完成对某一指定数据库的联接 java.sql.Statement在一个给定的连接作为SQL执行声明的容器,他包含了两个重要的子类型。 Java.sql.PreparedSatement 用于执行预编译的sql声明 Java.sql.CallableStatement用于执行数据库
数据库连接池
chengp919的博客
10-07 428
编写数据库连接池 编写连接池需实现java.sql.DataSource接口。DataSource接口定义了两个重载的getConnection方法: Connection getConnection() Connection getConnection(String username, String password)  实现DataSource
overview_java(九)-java数据库操作
yinhude的博客
10-11 341
数据库访问 。加载驱动 加载jdbc驱动,并将去注册到DriverManager,每一个数据库提供的数据库驱动不一样,加载驱动时要把jar包添加到lib 。//加载驱动程序    Class.forName("com.mysql.jdbc.Driver"); 。//获得数据库的链接    Connection conn =  DriverManager.getConnection(
09- 事务&数据库连接池&DBUtils
xinruzhishui_11的博客
06-27 281
事务&数据库连接池&DBUtils 事务 Transaction 其实指的一组操作,里面包含许多个单一的逻辑。只要有一个逻辑没有执行成功,那么都算失败。 所有的数据都回归到最初的状态(回滚) 为什么要有事务? 为了确保逻辑的成功。 例子: 银行的转账。 使用命令行方式演示事务。 开启事务 start transaction; 提交或者...
java 反射 封装_Java使用反射封装一个方便操作数据库的类
weixin_39519072的博客
02-15 187
刚开始学JavaWeb时,我是调用N个setter方法将从数据库查询出的数据封装成JavaBean的,极其繁琐。后来了解SpringJDBC后,发现它提供的接口非常简单,然后就想自己封装一个简单的用。原理很简单,就是使用反射代替手动调用 setter 方法,JavaBean的属性名要和数据库查询语句的字段名相同,一一对应。数据库配置文件(config.properities)格式为:db.u...
JavaWeb笔记】批处理,连接池(DBCP,C3P0),DBUtils
wish的博客
10-20 213
批处理 1.概述 一次性执行大量数据。将多条数据缓存起来,然后一次性执行。 for循环执行,会产生多次连接,每执行一次连接一次,耗费资源,性能差,所以采用批处理的方式。 2.主要方法 void addBatch(String sql) 添加批处理 void clearBatch() 清空批处理 int[] executeBatch() 执行批处理3.
Java代码审计sql注入基础
m0_55772907的博客
11-10 435
代码审计
基于javaweb的管理系统jdbc
最新发布
05-23
您可以使用PreparedStatementStatement对象来执行SQL语句,并使用ResultSet对象来检索查询结果。请参考以下示例代码: ``` String sql = "SELECT * FROM mytable WHERE id=?"; PreparedStatement stmt = conn....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值