JDBC连接如何防止SQL注入?

已于 2022-04-22 14:57:18 修改
阅读量4.9k 收藏 18
点赞数
分类专栏: java相关 文章标签: JDBC 数据库连接 SQL注入 PreparedStatement 参数化查询
于 2020-10-07 17:10:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014454538/article/details/108952103
版权

1. 绪言

  • 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识

  • 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲😂

  • 总结一下,JDBC连接分为三步:

    • 加载JDBC驱动
    • 创建数据库连接
    • 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果

  • 简单的连接和查询示例如下:

    import java.sql.*;

public class Test {
    private static final String DRIVER = "com.mysql.jdbc.Driver";
    // 指定编码格式,解决无法匹配中文字符的问题
    private static final String URL = "jdbc:mysql://localhost:3306/lucy?useUnicode=TRUE&characterEncoding=UTF-8";
    private static final String USER = "root";
    private static final String PASSWORD = "123456";
    private static Connection conn = null;
    private static Statement stmt = null;
    private static ResultSet rs = null;
    private static PreparedStatement ptmt = null;

    public static void main(String[] args) {
        try {
            // 1. 加载驱动
            Class.forName(DRIVER);
            // 2. 创建数据库连接
            conn = DriverManager.getConnection(URL, USER, PASSWORD);
            // 3. 操作数据库,实现增删改查
            stmt = conn.createStatement();
            rs = stmt.executeQuery("select * from stu");
            // 遍历查询结果
            while (rs.next()) {
                StringBuilder sb = new StringBuilder("[id=");
                sb.append(rs.getLong("id"));
                sb.append(", name=" + rs.getString("name"));
                sb.append(", age=" + rs.getInt("age"));
                sb.append(", class_id=" + rs.getLong("class_id"));
                sb.append("]");
                System.out.println(sb.toString());
            }
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        } finally { // 关闭连接
            try {
                if (rs != null) {
                    rs.close();
                }
                if (stmt != null) {
                    stmt.close();
                }
                if (ptmt != null) {
                    ptmt.close();
                }
                if (conn != null) {
                    conn.close();
                }
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }
}

  • stu表的建表语句见博客:数据库中的四大join & 笛卡尔乘积(以MySQL为例)

2. SQL注入的问题

2.1 字符串拼接引发SQL注入

  • 新需求:这是一个简单的学生信息管理系统,需要通过学生姓名查询学生信息。

  • 详细设计:编写一个方法,入参为学生姓名,将入参拼接成完整的SQL语句

  • 代码实现:

    public static void queryWithParam(String name) throws SQLException {
    String sql = "select * from stu where name='" + name + "'";
    rs = stmt.executeQuery(sql);
    // 打印查询结果
    while (rs.next()) {
        StringBuilder sb = new StringBuilder("[id=");
        sb.append(rs.getLong("id"));
        sb.append(", name=" + rs.getString("name"));
        sb.append(", age=" + rs.getInt("age"));
        sb.append(", class_id=" + rs.getLong("class_id"));
        sb.append("]");
        System.out.println(sb.toString());
    }
}

  • 如果用户传入的参数为lucy,此时SQL字符串为select * from stu where name='lucy',能查询到想要的数据

  • 如果这是一个急性子的用户,他不仅想要知道lucy的信息,还想要知道郭麒麟的信息,这时传入的参数为:lucy' or name='郭麒麟

  • 拼接出来的SQL语句为select * from stu where name='lucy' or name='郭麒麟',查询出来的学生信息就不止lucy一条信息了

  • 由此可见,这样的字符串拼接方式存在SQL注入的风险

2.2 字符串转义避免SQL注入

  • 上面的例子会可能发生SQL注入,那是因为传入的字符串在特定的环境下它不再是一个整体,而是可以拆分出多个查询条件
  • 为了避免SQL注入,最直接的想法就是让传入的参数始终是一个整体。
  • 我们可以对入参中的'字符进行转义\',这样就保证其整体性
  • 实践发现,lucy\' or name=\'郭麒麟简单的转义在字符串拼接时,会自动取消转义:select * from stu where name='lucy' or name='郭麒麟'
  • 因此,拼接而成的SQL语句任然有SQL注入的风险
  • 廖雪峰官网给出的转义方法

要避免SQL注入攻击,一个办法是针对所有字符串参数进行转义,但是转义很麻烦,而且需要在任何使用SQL的地方增加转义代码。

  • 看起来,通过转义避免SQL注入是很不现实的

2.3 使用PreparedStatement避免SQL注入

  • 可以使用PreparedStatement来实现数据库操作,它的特点是:使用占位符?表示SQL语句中的参数,通过set方法为SQL语句传入参数

  • 简单示例如下:

    public static void queryPrepare(String name) throws SQLException {
    // 预编译SQL,避免
    ptmt = conn.prepareStatement("select * from stu where name=?");
    ptmt.setString(1, name);
    // 打印预编译后的SQL语句
    System.out.println(ptmt.toString());
    rs = ptmt.executeQuery();
    while (rs.next()) {
        StringBuilder sb = new StringBuilder("[id=");
        sb.append(rs.getLong("id"));
        sb.append(", name=" + rs.getString("name"));
        sb.append(", age=" + rs.getInt("age"));
        sb.append(", class_id=" + rs.getLong("class_id"));
        sb.append("]");
        System.out.println(sb.toString());
    }
}

  • 这里,我们仍然传入之前成功发生SQL注入的参数lucy' or name='郭麒麟,发现打印出来的SQL语句为:

    select * from stu where name='lucy\' or name=\'郭麒麟'

  • 神奇之处:预编译自动将SQL语句进行了转义,使得传入的参数成为了一个整体

  • 也就是说,这里的查询条件变成了lucy\' or name=\'郭麒麟,SQL语句无法被截断了

3. 总结

使用PreparedStatement的优点:

  • 安全性不同: PreparedStatement可以有效防止sql注入,而Statment不能防止sql注入。
  • 语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
  • 效率不同:对于更改参数的同一SQL语句,PreparedStatement可以使用sql缓存区,效率比Statment
晓之木初
关注
  • 0
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
jdbc连接sql注入
06-13
java连接mysql,和mysql语句注入检查,简单程序,需要自己提供数据库
mysql的jdbc防止注入占位符_jdbc怎么防止sql注入
weixin_30453651的博客
01-28 341
JDBC-防止sql注入漏洞使用预编译可有效防止sql的注入漏洞。原因:在statement中不能够有效的防止sql的注入漏洞,在于用户传入参数的时候可能会传入一些特殊字符,比如单引号' ' ,或者是-- 这种会影响到我们的sql语句.所以使用预编译中的占位符,也就是?,可以有效的处理这一问题.public class Prepared {@Testpublic void papa(){Conne...
JDBC中使用preparedStatement防止SQL注入
qq_43842093的博客
08-29 1352
一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输入账号和密码。 我们的代码中会有如下SQL语句: String sql="select * from user where account='"+account+"' and password='"+password+"'"; 情形1:(免账号登录) 账号:' or 1=1-- (--
JDBC防止SQL注入原理
hellozhxy的博客
05-11 1337
一、基本解釋 1.JDBCJava DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
JDBC中的SQL注入
DZH2020的博客
08-14 1122
JDBC中的SQL注入
JDBC如何有效防止SQL注入
DylanAndroid
12-21 9275
JDBC批量插入数据优化,使用addBatch和executeBatch 在之前的玩转JDBC打造数据库操作万能工具类JDBCUtil,加入了高效的数据库连接池,利用了参数绑定有效防止SQL注入 中其实忽略了一点,那就是SQL的批量插入的问题,如果来个for循环,执行上万次,肯定会很慢,那么,如何去优化呢? 一.用 preparedStatement.addBatch()配合prepa
JDBC模拟SQL注入和避免SQL注入
YOU__FEI的博客
10-03 1018
导致SOL注入的根本原因是:用户不是一般的用户,用户是懂得程序的,输入的用户名信息以及密码信息中含有SOL语句的关健字,这个SQL语句的关健字和底层的SQL语句进行 “字符串拼接”,导致原SQL语句的含义被扭曲了。最最最最最最主要的原因是:用户提供的信息参与了SQL语句的编译,这个程序是先进行的字符串拼接,然后再进行的SQL语句的编译,正好被注入...........
jdbc——sql注入
m0_72960906的博客
10-31 945
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC】预处理查询,防止SQL注入的利器
大河之犬的博客
08-20 1408
在实际使用的时候会引发sql注入的问题,因此我们在开发时常用。预处理sql语句以预防sql注入行为。
javaJDBC防止sql注入
程金鹏(程利鹏)
12-19 3918
文章目录一、JDBC概述二 、JDBC 原理三、JDBC 开发步骤【myeclipse】2) 注册驱动 一、JDBC概述 JDBCJavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。 JDBC是一种用于执行SQL语句的 java api。 JDBC可以为多种关系数据库提供统一访问入口。 JDBC由一组Java工具类和接口组成...
深入JDBC sqlserver连接写法的详解
09-10
预编译的SQL语句可以提高性能,防止SQL注入攻击,而批处理则能优化大量数据的插入或更新操作。事务管理确保数据库操作的原子性和一致性,特别是在并发环境中。 此外,使用JDBC时,应始终遵循最佳实践,例如关闭...
JDBC连接sqlserver与mysql
06-01
要通过JDBC连接SQL Server,我们需要以下步骤: 1. **获取JDBC驱动**:SQL Server的JDBC驱动称为Microsoft JDBC Driver,可以在微软官方网站上下载。最新的版本通常提供更好的性能和兼容性。 2. **添加驱动到项目*...
JDBC连接微软的SQL Server 的驱动
04-01
标题 "JDBC连接微软的SQL Server 的驱动" 描述了如何使用Java Database Connectivity (JDBC) API来连接到Microsoft SQL Server数据库。这个话题涉及到的主要知识点包括: 1. **JDBC驱动**:JDBCJava中用于与各种...
红黑树详解
热门推荐
lucyLee的博客
09-12 10万+
1. 概述 1.1 红黑树的引入 有了二叉搜索树,为什么还需要平衡二叉树? 在学习二叉搜索树、平衡二叉树时,我们不止一次提到,二叉搜索树容易退化成一条链 这时,查找的时间复杂度从O(log2N)O(log_2N)O(log2​N)也将退化成O(N)O(N)O(N) 引入对左右子树高度差有限制的平衡二叉树,保证查找操作的最坏时间复杂度也为O(log2N)O(log_2N)O(log2​N) 有了平衡二叉树,为什么还需要红黑树? AVL的左右子树高度差不能超过1,每次进行插入/删除操作时,几乎都需要通过旋
Open JDK下载
lucyLee的博客
05-17 2万+
以Open JDK 17为例,介绍Open JDK的下载方式
JVM实战(一): dump文件的产生以及执行shell脚本
lucyLee的博客
09-19 1万+
如何配置jvm参数,在OOM时生成dump文件并执行shell 脚本
平衡二叉树(AVL)
lucyLee的博客
09-05 1万+
1. 概述 1.1 定义 平衡二叉树,全称为平衡二叉搜索树 它是由苏联数学家Adelson-Velsky 和 Landis提出来的,因此平衡二叉树又叫AVL树 平衡二叉树的定义是一种递归定义,要求每个节点都具有以下特性: 可以是一棵空树 左子树和右子树高度之差的绝对值不超过1(左右子树的高度差可以为0、1和 -1) 左子树和右子树均为平衡二叉树 为什么平衡二叉树是二叉搜索树? 之前,在学习二叉搜索树时,增删该查的效率最坏为O(n)O(n)O(n)。此时,二叉树退化成一条链 若二叉搜索树尽可能的平衡
jdbc连接sqlserver2008
最新发布
06-16
JDBC (Java Database Connectivity) 是一种用于Java应用程序与关系数据库交互的API标准。要使用JDBC连接SQL Server 2008,首先你需要确保你的项目中已经包含了相应的JDBC驱动,比如Microsoft JDBC Driver for SQL Server (msjdbcsql.jar)。 以下是使用JDBC连接SQL Server 2008的基本步骤: 1. **添加JDBC驱动**: 在你的项目构建路径中添加MS JDBC驱动库。如果是Maven项目,可以在pom.xml文件中添加依赖: ```xml <dependency> <groupId>com.microsoft.sqlserver</groupId> <artifactId>mssql-jdbc</artifactId> <version>9.4.x</version> <!-- 更新到最新的版本 --> </dependency> ``` 2. **加载驱动**: 在Java代码中,使用Class.forName()方法加载驱动: ```java Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver"); ``` 3. **创建连接**: 使用DriverManager.getConnection()方法创建到数据库的连接,提供数据库URL、用户名和密码: ```java String url = "jdbc:sqlserver://your_server_address;databaseName=your_database_name"; String user = "your_username"; String password = "your_password"; Connection conn = DriverManager.getConnection(url, user, password); ``` 4. **执行SQL查询或操作**: 使用Connection对象的Statement或PreparedStatement接口执行SQL语句: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM your_table"); // 或者使用预编译的Statement(防止SQL注入) String sql = "SELECT * FROM your_table WHERE id = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setInt(1, your_id); rs = pstmt.executeQuery(); ``` 5. **处理结果集**: 处理查询结果,例如遍历ResultSet,获取数据。 6. **关闭资源**: 用完后记得关闭Connection、Statement和ResultSet: ```java rs.close(); pstmt.close(); stmt.close(); conn.close(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值