7. 使用 preparedStatement 解决 SQL 注入问题

最新推荐文章于 2023-02-27 16:44:31 发布
最新推荐文章于 2023-02-27 16:44:31 发布
阅读量2.8k 收藏 4
点赞数 3
分类专栏: JDBC系列 文章标签: sql 数据库 mysql jdbc redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012887259/article/details/117491669
版权

7. 使用 preparedStatement 解决 SQL 注入问题

前言

在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL 注入的问题。

而 SQL 注入的问题主要就是在字符串拼接中,存在查询条件拼接了 ' or '' = ' 后,导致可以查询所有数据的情况。

那么为了解决这个问题,我们就需要固化查询语句的结构,不允许随意拼接字符串。那么下面我们来介绍使用 preparedStatement 解决 SQL 注入问题。

案例-登录中SQL注入问题解决

1.目标

能够完成PreparedStatement改造登录案例, 解决SQL注入问题

2. preparedStatement概述

预编译SQL语句对象, 是Statement对象的子接口。

特点:

  • 性能要比Statement高

  • 会把sql语句先编译,格式固定好,

  • sql语句中的参数会发生变化,过滤掉用户输入的关键字(eg: or)

3. preparedStatement 用法

3.1 通过connection对象创建

  • connection.prepareStatement(String sql) ;创建prepareStatement对象

  • sql表示预编译的sql语句,如果sql语句有参数通过?来占位

    SELECT * FROM user WHERE username = ? AND password = ?

3.2 设置参数

  • prepareStatement.set类型(int i,Object obj);

    参数1 i 指的就是问号的索引(指第几个问号,从1开始),

    参数2就是值   eg:  setString(1,"zs");   setString(2,"123456");

4.使用 prepareStatement 来解决SQL注入

那么下面我们使用 prepareStatement 来解决SQL注入,修改登录案例的代码如下:

image-20210121082639304 
public class LoginClient {

    /**
     * 使用 JDBC 实现登录案例
     */
    public static void main(String[] args) throws SQLException {

        //1. 获取用户输入的 用户名
        System.out.println("请输入的用户名: ");
        Scanner scanner = new Scanner(System.in);
        String username = scanner.nextLine();
        System.out.println("输入的用户名: " + username);

        //2. 获取数据库连接
        Connection connection = JdbcUtils.getConnection();

        //3. 根据用户名执行数据查询
        //String sql = "select * from t_user where uname = '" + username + "'"; // 设置SQL
        //Statement statement = connection.createStatement(); // 获取statement
        //ResultSet resultSet = statement.executeQuery(sql); // 执行查询SQL

        // 使用 prepareStatement 来解决SQL注入
        String sql = "select * from t_user where uname = ?"; // 设置SQL, 使用问号?设置查询的条件参数
        PreparedStatement preparedStatement = connection.prepareStatement(sql); // 获取preparedStatement
        // 设置SQL参数,执行SQL。
        preparedStatement.setString(1, username); // 设置用户名参数
        // 执行(还是executeQuery()和executeQUpdate(), 但是不需要再传入SQL语句, 上面已经传入了)
        ResultSet resultSet = preparedStatement.executeQuery();

        //4. 如果查询存在用户名的数据,那么则登录成功;反之,登录失败
        if (resultSet.next()) {
            System.out.println("登录成功");
        } else {
            System.out.println("登录失败");
        }
    }

}

  • 执行输入不存在的用户登录如下:

  • 拼接 ' or '' = ' 字符串,执行SQL注入如下:

可以看到,使用拼接字符串 ' or '' = ' 已经不能再次查询成功了,也就解决了 SQL注入问题。

海洋的渔夫
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题解决、查询解析
04-30
文章地址:https://blog.csdn.net/m0_37969197/article/details/124516593 Java-JDBC【之】JDBC概述、获取连接、SQL注入问题解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题) 5.执行SQL 6.解析查询对象`ResultSet` 7.关闭连接 `ResultSet 、Statement 、Connection` 3.SQL注入问题解决Statement 、PreparedStatement) 3.1.模拟SQL注入 3.2.PreparedStatement解决 3.3.Statement 与 PreparedStatement 4.完整源码
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
sjs52406的博客
12-02 1171
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
如何防止SQL注入.pdf
最新发布
04-02
防止SQL注入主要依赖于以下几种方法: 1. 使用参数化查询(预编译语句) 参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理,而不是SQL语句的一部分。 2. 检验和清洗用户输入 对用户输入进行验证,确保它符合预期的格式。例如,如果你期待一个整数,确保输入是一个整数。对于字符串,移除或转义可能会引起SQL注入的特殊字符。 3. 使用ORM框架 4. 限制数据库权限 5. 使用存储过程 6. 适当使用Web应用防火墙 7. 避免详细的错误信息
sql注入问题解决——PrepareStatement
LeeBingNing的博客
01-16 4127
SQL注入攻击 -- 早年登录逻辑,就是把用户在表单中输入的用户名和密码 带入如下sql语句. 如果查询出结果,那么 认为登录成功. SELECT * FROM USER WHERE NAME='xxxx' AND PASSWORD='xxx'; -- sql注入: 请尝试以下 用户名和密码. /* 用户名:    密码: xxx */ -- 将用户名和密
SQL注入及PreparedStatement
qq_52722789的博客
01-12 403
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 764
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1386
PreparedStatement对象解决sql注入问题
sql注入
musi_m的博客
06-14 1026
sql注入1 sql注入2 防止sql注入    2.1使用prepareStatement+Bind-Variable    2.2 使用应用程序提供的转换函数    2.3 自定义函数校验 1 sql注入 SQL注入就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQL)当中,从而达到入侵数据库乃至操作系统的目的,如下实例: 1)创建用户表 create table
SQL 注入问题解决(PreparedStatement)
一切随缘的博客
11-19 8059
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
2.JDBC使用--查询数据
qq_67192586的博客
04-11 410
JDBC查询
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
08-07
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
08-07
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入 - 副本.zip
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(防sql注入方式)
10-01
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能,并且通过PreparedStatement类实现防sql注入
4. 案例-使用 Statement 完成 JDBC 增删改查
DevOps海洋的渔夫@专栏
05-30 740
4. 案例-使用 Statement 完成 JDBC 增删改查前言在前面的章节中,我们已经懂得如何获取数据库连接 以及 单元测试,下面我们来使用 Statement 来实现 JDBC 的增...
10. 批量插入
DevOps海洋的渔夫@专栏
06-08 676
10. 批量插入前言上一章节,我们使用 PreparedStatement 操作了 BLOB 字段,下面我们再来看看批量插入的操作。批量插入1. 批量执行SQL语句当需要成批插入或者更新...
9. 操作BLOB类型字段
DevOps海洋的渔夫@专栏
06-07 455
9. 操作BLOB类型字段前言在上一章节,我们使用PreparedStatement实现CRUD操作,那么在CRUD的操作中,对于一些特别的数据库字段操作,会有一些特别的处理。例如:BLO...
2. 获取数据库连接
DevOps海洋的渔夫@专栏
05-24 411
2. 获取数据库连接前言在上一章节中,我们虽然认识了 JDBC 的基本概念,以及完整的执行入门示例。但是对于程序中的每个操作还是比较陌生的,所以在后续的篇章中,我再将其拆分,逐步进行讲解。...
5. JDBC工具类的抽取 - 封装获取连接、关闭资源
DevOps海洋的渔夫@专栏
05-31 380
5. JDBC工具类的抽取 - 封装获取连接、关闭资源前言在前面的篇章中,我使用Statement 完成 JDBC 增删改查,而且我们可以发现在代码中,存在代码重复的地方,例如:获取数...
PreparedStatement ps为什么可以避免sql注入问题
05-17
PreparedStatement 对象可以帮助我们避免 SQL 注入问题的原因是因为它使用了预编译的 SQL 语句。也就是说,当我们使用 PreparedStatement 对象时,我们需要先将 SQL 语句中的占位符(即 "?")替换成真正的参数值,然后再将 SQL 语句发送到数据库执行。这个过程中,数据库会将 SQL 语句和参数值分开处理,从而避免了 SQL 注入攻击。 相比之下,如果我们使用普通的 Statement 对象来构造 SQL 语句,我们需要自行拼接 SQL 语句和参数值,这样容易受到 SQL 注入攻击。因为攻击者可以在参数值中注入恶意的 SQL 代码,从而篡改我们的 SQL 语句,使得它执行了攻击者想要的操作。 因此,为了避免 SQL 注入攻击,我们应该尽可能地使用 PreparedStatement 对象来执行 SQL 语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

海洋的渔夫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值