Java入门之JDBC--sql注入(mysql数据库)

最新推荐文章于 2022-10-31 08:58:07 发布
最新推荐文章于 2022-10-31 08:58:07 发布
阅读量748 收藏 2
点赞数 1
分类专栏: java Mysql 文章标签: Java入门 JDBC mysql sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang_da_bing/article/details/88593960
版权
java 同时被 2 个专栏收录
45 篇文章 1 订阅
订阅专栏
Mysql
7 篇文章 0 订阅
订阅专栏
sql注入
  1. 注入的解释:通过将恶意SQL语句插入到特定SQL语句内,使特定SQL语句发生变化,最终达到欺骗数据库服务器使之执行恶意的SQL命令的一种方法。
    例如如下代码:
try {
	Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException e) {
	e.printStackTrace();
}
Connection connection = null;
Statement statement = null;
ResultSet resultSet = null;
try {
	String url = "jdbc:mysql://127.0.0.1:3306/test";
	connection = DriverManager.getConnection(url, "root", "root");
	statement = connection.createStatement();
	String userName = "王_五";
	String password = "' or '1'='1";//通过or+一个成立的条件,改变原约束条件,进行恶意注入
	String sql = "select * from user_info where user_name='" + userName + "' and password='" + password + "'";
	resultSet = statement.executeQuery(sql);
	if (resultSet.next()) {
		System.out.println("登录成功");
	} else {
		System.out.println("登录失败");
	}
} catch (SQLException e) {
	e.printStackTrace();
} finally {
	try {
		if (resultSet != null) {
			resultSet.close();
		}
	} catch (SQLException e) {
		e.printStackTrace();
	}
	try {
		if (statement != null) {
			statement.close();
		}
	} catch (SQLException e) {
		e.printStackTrace();
	}
	try {
		if (connection != null) {
			connection.close();
		}
	} catch (SQLException e) {
		e.printStackTrace();
	}
}
  1. 解决sql注入问题
    借助ParpareStatement类
try {
	Class.forName("com.mysql.jdbc.Driver");
} catch (ClassNotFoundException e) {
	e.printStackTrace();
}
Connection connection = null;
PreparedStatement preparedStatement = null;
ResultSet resultSet = null;
try {
	String url = "jdbc:mysql://127.0.0.1:3306/test";
	connection = DriverManager.getConnection(url, "root", "root");
	String sql = "select * from user_info where user_name=? and password=?";//通过sql语句的?传递参数,防止修改原语句。
	preparedStatement = connection.prepareStatement(sql);
	String userName="王_五";
	String password="' or '1'='1";
	preparedStatement.setObject(1, userName);//为问号占位符赋值
	preparedStatement.setObject(2, password);//为问号占位符赋值
	resultSet = preparedStatement.executeQuery();
	if (resultSet.next()) {
		System.out.println("登录成功");
	} else {
		System.out.println("登录失败");
	}
} catch (SQLException e) {
	e.printStackTrace();
} finally {
	try {
		if (resultSet != null) {
			resultSet.close();
		}
	} catch (SQLException e) {
		e.printStackTrace();
	}
	try {
		if (preparedStatement != null) {
			preparedStatement.close();
		}
	} catch (SQLException e) {
		e.printStackTrace();
	}
	try {
		if (connection != null) {
			connection.close();
		}
	} catch (SQLException e) {
		e.printStackTrace();
	}
}
wang_da_bing
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6165
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
MySQLJDBC编程(Java)
TuttuYYDS的博客
05-28 306
MySQLJDBC编程(Java) 1.创建项目 2.编写代码 1)插入数据操作 2)删除操作 3)修改操作 4)查询操作
Java 连接MySql数据库配置
weixin_58696998的博客
04-24 6918
MySql5.5数据库下载及安装 链接:https://pan.baidu.com/s/1AmCvGx9lVGXsE7DbaKtCXw 提取码:thk6 安装步骤: 详见: MySQL 5.5详细安装教程 - 知乎 安装navicat15 ,mysql图形化管理工具 链接:https://pan.baidu.com/s/12DV1Gc1CinOPBkUgkt3N4A 提取码:thk6 安装破解步骤详见: https://www.jb51.net/article/199525...
java通过配置文件加载数据库(以Mysql为例)
dandelionLYY的博客
01-06 3070
项目结构如图示 jdbc.properties内容为: jdbc.username=root jdbc.password=root jdbc.driver=com.mysql.jdbc.Driver jdbc.url=jdbc:mysql://localhost:3306/book?useUnicode=true&characterEncoding=utf8新建一个util包,用来存放
jdbc——sql注入
m0_72960906的博客
10-31 944
在用户输入的数据有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1544
sql注入原理 用户输入的信息含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
MySQL数据库 --- JavaJDBC编程
m0_54853503的博客
06-07 61
首先浏览器搜索 https://mvnrepository.com在输入框搜索 mysql jdbc 找到下面这个并点进去 选择对应自己 mysql 版本的 驱动程序 选择一个 点进去下载 首先 在idea 的工程,创建一个目录 ,然后把jar 包拷贝进去 打开idea 在 左上角 File -> Project Structure… 点击Librarires -> + -> Java 然后在选择libs目录 然后一路ok就可以了 因为数据库的种类有很多,不同的数据库提供的API(applicatio
JDBC调用MySQL数据库.rar
05-19
本示例是关于如何使用Java JDBCMySQL数据库进行交互的一个简单教程,适合初学者入门学习。 1. **JDBC基础知识** - **JDBC驱动**:在Java,与数据库通信需要JDBC驱动。MySQL提供四种类型的JDBC驱动,分别是Type...
Java学习指南(8) MySQL数据库JDBC框架
06-15
一、课程简介『Java学习指南系列』的第8篇教程 ,介绍MySQL数据库的安装使用,常见SQL语句,以及使用JDBC进行数据库开发的技术。 二、主要内容? * MySQL的安装和使用 * 常用SQL语句,增删改查操作 * 高级SQL查询,多...
Java Web程序设计入门课件-JDBC理论.pptx
最新发布
11-02
Java Web开发数据库通常用来存储网站的用户信息、商品信息等重要数据,因此掌握JDBC对于Java Web程序员来说是基础技能之一。 使用JDBC访问数据库需要遵循一定的步骤: 1. **加载并注册数据库驱动**:首先,...
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求的参数含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
Java基础入门自学课件 第15章 JDBC数据库访问(共12页).ppt
08-29
Statement适用于静态SQL,而PreparedStatement适用于动态SQL,可以防止SQL注入。 ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM mytable"); ...
Java数据库接口JDBC入门基础讲座 .rar
02-18
Java数据库接口JDBCJava Database Connectivity)是Java平台用于与各种类型数据库交互的一套标准API,它...本讲座的PDF文档1110860638853JavaJDBC.pdf将详细讲解这些内容,是Java开发者入门数据库操作的宝贵资料。
JDBC 入门小结之sql注入及防止
sinat_36700834的博客
11-20 2862
JDBCJava数据库进行操作的一个桥梁. 借助数据库提供的数据驱动, 加上要操作的数据库语言, 执行数据库语句之后就可以对数据库里面的记录进行增 删 改 查(crud)操作了.
JDBCSQL注入
DZH2020的博客
08-14 1117
JDBCSQL注入
Java连接MySQL(SQL注入攻击以及解决方法)
哈哈哈哈_哈士奇的博客
08-30 1971
Java简单的MySQL连接操作 基本步骤: 1.加载驱动类   Class.forName(“com.mysql.jdbc.Driver”); 2.建立连接   Connection conn = DriverManager.getConnection(url,user,password);   三个参数的解读:     url:"jdbc:mysql://localhost:3306/is...
javaJDBC与防止sql注入
程金鹏(程利鹏)
12-19 3917
文章目录一、JDBC概述二 、JDBC 原理三、JDBC 开发步骤【myeclipse】2) 注册驱动 一、JDBC概述 JDBCJavaDataBaseConnectivity,Java数据库连接,SUN公司推出的java访问数据库的标准规范(接口)。 JDBC是一种用于执行SQL语句的 java api。 JDBC可以为多种关系数据库提供统一访问入口。 JDBC由一组Java工具类和接口组成...
Java入门集合之Set集合(重写equals()和hashcode()方法)
wang_da_bing的博客
02-17 9522
概述 Set接口继承Collection Set接口常用实现类 HashSet 实现了 Set 接口 “它不保证 set 的迭代顺序;特别是它不保证该顺序恒久不变”(存入该实现类对象的元素是无序的,即在遍历该集合元素时,遍历出的元素顺序未必和向集合添加元素的顺序一致;这次遍历出来的顺序未必和上一次遍历出来的元素顺序一致) 允许使用 null 元素 LinkedHashSet HashSe...
JDBC入门Java数据库连接与操作详解
在实际应用,客户端通过Java应用程序利用JDBC API与数据库服务器(如MySQL、Oracle或SQL Server)进行通信,通过应用服务器进一步管理这些请求。 在编写JDBC程序时,遵循一个通用的工作模板,首先尝试加载特定的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值