PrepareStatement防止数据库注入

最新推荐文章于 2023-12-02 08:18:30 发布
最新推荐文章于 2023-12-02 08:18:30 发布
阅读量455 收藏
点赞数
分类专栏: 数据库 JavaSE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014338577/article/details/49360629
版权 



package cn.test.javaee.service;

import org.junit.Test;

import cn.test.entity.User;
import cn.test.javaee.service.impl.UserServiceImpl;

public class IUserServiceTest {

	@Test
	public void testLogin() {
		IUserService userService = new UserServiceImpl();

		User user = new User();

		user.setName("xiaoli");
		// 数据库注入
		user.setName("abc' or '1' = '1");

		user.setPasswd("sergsrg' or '1' = '1");

		User resuser = userService.Login(user);
		System.out.println(resuser.toString());
		if (resuser != null && resuser.getName() != null && !("".equals(resuser.getName()))) {
			System.out.println("Login Success");
			System.out.println(resuser.toString());
		} else {
			System.out.println("Login Failed");
		}
	}

	@Test
	public void testLoginForPrepareStatement() {
		IUserService userService = new UserServiceImpl();

		User user = new User();

		user.setName("xiaoli");
		// 数据库注入
		user.setName("abc' or '1' = '1");

		user.setPasswd("sergsrg' or '1' = '1");

		//user.setName("xiaoli");
		//user.setPasswd("123123");
		
		//使用PrepareStatement防止数据库注入
		User resuser = userService.Login(user);

		if (resuser != null && resuser.getName() != null && !("".equals(resuser.getName()))) {
			System.out.println("Login Success");
			System.out.println(resuser.toString());
		} else {
			System.out.println("Login Failed");
		}
	}

}



package cn.test.javaee.dao.impl;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

import jdbc.util.JDBCUtil;
import cn.test.entity.User;
import cn.test.javaee.dao.IUserDao;

public class UserDaoImpl2 implements IUserDao {
	@Override
	public User Login(User user) {
		Connection conn = null;
		PreparedStatement stmt = null;
		ResultSet rs = null;

		try {
			conn = JDBCUtil.getConnection();
			//preparedStatment 他是预编译的sql -- 如果需要对象,使用?进行占位。
			String sql = " select * from employee where name=? and passwd=?";
			System.out.println(sql);
			//用PreparedStatement继续预编译
			stmt = conn.prepareStatement(sql);
			
			//向sql中的占位符进行赋值
			//表示的是向某一个位置进行赋值。
			stmt.setString(1,user.getName());
			stmt.setString(2,user.getPasswd());
			rs = stmt.executeQuery();
			
			User result = new User();
			while(rs.next())
			{
				result.setEmployee_id(rs.getInt(1));
				result.setName(rs.getString("name"));
				result.setSalary(rs.getInt(3));
				result.setAge(rs.getInt(4));
				result.setJob(rs.getString("job"));
				result.setPasswd(rs.getString("passwd"));
				result.setSex(rs.getString("sex"));
			}
			return result;
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		finally
		{
			JDBCUtil.release(rs, stmt, conn);
		}
		return null;
	}
}


形形色色的人
关注
专栏目录
mybatis防止SQL注入的方法实例详解
08-27
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userId); ResultSet rs=pstmt.executeUpdate(); ``` 使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 ...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1312
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1573
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8425
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 520
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 307
preparement避免sql注入
06丨数据库原理:为什么PrepareStatement性能更好更安全?.pdf
07-05
数据库原理:为什么PrepareStatement性能更好更安全】 在数据库编程中,我们经常遇到两种执行SQL语句的方法:Statement和PreparedStatement。尽管Statement看起来更简洁,但在实际应用中,尤其是在使用ORM框架如...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
此外,PrepareStatement还能够防止SQL注入攻击,因为它允许我们使用占位符(?)来代替直接拼接字符串。 在描述中提到的基本查询和更新场景中,我们可以使用PreparedStatement的`setXXX()`方法设置参数,其中XXX代表...
有效防止SQL注入的5种方法总结
09-09
PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, userName); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery(); ``` 2. 输入验证与过滤 对用户输入...
java防止SQL注入
11-19
PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1, userName); preState.setString(2, password); ResultSet rs = preState.executeQuery(); 2. 采用正则表达式 可以使用正则表达式...
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
sjs52406的博客
12-02 1897
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
Preparestatement解决sql注入安全问题
qq_75222206的博客
07-11 394
【代码】Preparestatement解决sql注入安全问题。
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 678
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入...
PreparedStatment防止SQL注入原理
qq_45671431的博客
05-06 1201
什么是SQL注入 SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,最终达到欺骗服务器执行恶意的SQL命令进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。 S...
JDBC详解系列(四)之建立Stament和执行SQL语句
01-12 171
建立Stament   在获得连接之后,我们就可以跟数据库进行交互了。   在JDBC中,我们发送SQL语句到数据库这些操作时通过Stament,Preparement,CallableStatement这几个对象进行的。 一.Stament   Stament是一个接口,其具体实现由供应商所提供。调用方法: Statement stmt = null; try { stmt = ...
JDBC用PrepareStatement解决SQL注入
qq_46534049的博客
01-31 2381
setXxx()方法有两个参数,第一个参数是要设置的SQL语句中的参数的索引(从1开始),第二个是设置的SQL语句中的参数的值。SQL注入(SQL injection)是因为应用程序在执行SQL语句的时候没有正确的处理用户输入字符串,将用户输入的恶意字符串拼接到了SQL语句中执行,从而导致了SQL注入。这个代码中1=1永远都是对的,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。这是查询一条数据的运行结果。
mysql prepare 防注入_mysql-preparestatement防止sql注入
weixin_31088605的博客
01-19 479
项目中--遇到类似问题。一、什么是sql注入?先举个栗子:用户登录SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'可以看到注入后可以免密码登录...
关于prepareStatement可以防止SQL注入的理解
liuxiaoddd的专栏
11-27 6675
prepareStatement的两个作用: 1. 预处理功能,在多次执行相同的SQL语句的情况可以大幅提高执行效率; 2. 杜绝SQL注入的风险。
PrepareStatement对象(新增、删除、更新、查询、防止SQL注入
...
08-02 953
MySQL三十三:PrepareStatement对象 PrepareStatement 可以防止SQL注入,并且效率高! 1、新增 package lesson03; import lesson02.utils.JdbcUtils; import java.sql.*; public class TestInsert { public static void main(String[] args) { Connection conn =null; Prepar
preparestatement sql注入
03-16
好的,以下是使用PreparedStatement进行SQL输入的示例代码: ...需要注意的是,使用`PreparedStatement`可以有效地防止SQL注入攻击,因为占位符的值会被自动转义,避免恶意输入对数据库造成危害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值