JAVA中防止SQL注入(使用PreparedStatement 方案)

最新推荐文章于 2023-12-02 08:18:30 发布
最新推荐文章于 2023-12-02 08:18:30 发布
阅读量143 收藏
点赞数
分类专栏: J2EE常用工具类 文章标签: SQL Java 数据结构 JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangguoping/article/details/83738934
版权

     SQL注入攻击是利用是指利用设计上的漏洞在目标服务器上运行Sql语句以及 进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
    对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement 是无效的这是因为PreparedStatement不允许在不同的插入时改变查询的逻辑结构。 
    如验证用户是否存在的SQL语句为 : 
    select count(*) from usertable where name='用 户 名 ' and pswd='密 码 '
    如果在用户名字段中输 入 ' or '1'='1' or '1'='1或是在密码字段中输入 1' or '1'='1将绕过验证,但这种手段只对只对 Statement有效,对PreparedStatement无效。 
    PreparedStatement 相 对 Statement有以下 优 点: 
    1.防注入攻 击 
    2.多次运行速度快 
    3.防止数据库缓冲区溢出 
    4.代码的可读性可维护性好 
    这四点使得 PreparedStatement 成为访问数据库的语句对象的首选,缺点是灵活性不够好,有些场合还是必须使用Statement。 

wangguoping
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1149
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 470
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1553
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2582
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
JDBC使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5379
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
mybatis防止SQL注入的方法实例详解
08-27
例如,在 mapper 文件可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件,可以使用预编译语句来避免 SQL 注入攻击: ```java public ...
java持久层框架mybatis防止sql注入的方法
09-01
2. **避免在XML配置使用动态SQL(`<if>`,`<choose>`,`<when>`,`<otherwise>`等)时直接拼接SQL**:这些标签可能导致SQL注入,除非你能确保传入的参数是经过验证的。 3. **对输入参数进行校验**:在应用程序代码...
有效防止SQL注入的5种方法总结
09-09
Java,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为参数处理。这样,即使输入包含恶意SQL片段,也...
java防止SQL注入
11-19
Java 防止 SQL 注入 Java 防止 SQL 注入是一个至关重要的安全问题,SQL 注入攻击是最常见的攻击方式之一,它不是利用操作系统或其他系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了 SQL 的...
SQL注入安全问题解决方案-JAVA
11-25
SQL注入安全问题解决方案-JAVA SQL注入安全问题解决方案-JAVA
防止sql注入解决方案
12-07
防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
最新发布
sjs52406的博客
12-02 1695
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1471
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
java程序防止sql注入的方法
热门推荐
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
通过PreparedStatement预防SQL注入
jakelihua
11-25 612
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
Mybatis 源码学习(11)-日志模块
teaandnoodle的专栏
12-05 271
历史文章: Mybatis 源码学习(10)-类型转换(TypeAliasRegistry) Java 开发常用的日志工具类包括Log4J、Log4J2、Apache Common Log、java.util.logging、Slf4j,这些工具的接口并不统一,为了提供统一的接口,Mybatis 对这些日志接口做了统一适配。 Mybatis 的日志模块使用了适配器模式,其内部提供了统一的适配器...
Statement和PreparedStatement --- 防止sql注入
my_momo_csdn的博客
03-13 1726
一、SQL注入 这两者的区别有好几点,比如预编译,防止sql注入是其最大的一点,这里通过几个例子和简单的解析来探究PreparedStatement是如何防止sql注入的。 二、数据库记录如下: id playName playNo team 1 Kobe Brayent 8 laker 2 Lebron James 23 laker 3 Tim Duncan 21 ...
数据库连接使用PreparedStatement预编译防止SQL注入
北京Java青年
06-13 1340
//使用预编译不需要对SQL语句进行拼接,而是使用?占位符,因此可以防止SQL注入,提升了安全性。 1.提高代码可读性和可维护性 2.提高sql语句执行性能 3.提高安全性PreparedStatement pst=new PreparedStatement(); String sql=”select * from user2 where name=?” String userName=”li
java怎么防止sql注入
07-28
\[2\]总的来说,通过使用PreparedStatement、ORM框架、过滤敏感词汇和使用反向代理等方法,可以有效地防止Java应用程序受到SQL注入的影响。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *3* [如何在Java应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值