mysql的jdbc防止注入占位符_JDBC_mysql---防sql注入,存储图片

于 2021-02-08 15:54:51 发布
阅读量105 收藏
点赞数
文章标签: mysql的jdbc防止注入占位符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26876073/article/details/113954485
版权

packagePreparedStatement_sql注入;importjava.io.File;importjava.io.FileInputStream;importjava.io.InputStream;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.util.Scanner;importorg.junit.After;importorg.junit.Before;importorg.junit.Test;public classPreparedStatement_sql {//用?作为占位符号

/*** 保存图片mysql中用longblob

*@throwsException*/@Testpublic void saveImg() throwsException{

String sql= "insert into stud values(66,?,?)";

PreparedStatement pst=con.prepareStatement(sql);//声明图片的信息

File file = new File("./img/a.jpg");

InputStream in= newFileInputStream(file);//设置参数到pst中

pst.setString(1, "ss");

pst.setBinaryStream(2,in);//执行

pst.executeUpdate();

}/*** 防止sql注入

*

*@throwsException*/@Testpublic void regWithPre() throwsException {

Scanner sc= newScanner(System.in);

System.err.println("输入id ,name");

String id=sc.nextLine();

String name=sc.nextLine();

String sql= "insert into stud values(?,?)";//preparedstatement pst 接收sql//执行sql语句再设置参数

PreparedStatement pst =con.prepareStatement(sql);//编译好后设置参数//设置值要从1开始

pst.setString(1, id);

pst.setString(2, name);

pst.executeUpdate();

}/*** 判断数据库里是否有值

*

*@throwsException*/@Testpublic void loginPst() throwsException {

Scanner sc= newScanner(System.in);

String nm=sc.nextLine();

String id=sc.nextLine();

String sql= "select * from stud where id=? and name=?";

PreparedStatement pst=con.prepareStatement(sql);

pst.setString(1, id);

pst.setString(2, nm);

System.err.println(sql);

ResultSet rs= pst.executeQuery();//判断是否有值

if(rs.next()) {

System.err.println("你登录成功,你好欢迎你..");

}else{

System.err.println("你登录不成功。。。");

}

}

@Before//执行Test前执行

public void getCon() throwsException {

Class.forName("com.mysql.jdbc.Driver");

String url= "jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf8";

con= DriverManager.getConnection(url, "root", "1234");//con.close();//System.err.println(con);

}

@After//执行Test后执行

public void closeConn() throwsException {if (con != null || !con.isClosed()) {

con.close();

}

}privateConnection con;

}

蔡恩泽
关注
jdbc log4jdbc mysql_Log4jdbc数据库访问日志框架使用 - jdbc
weixin_39916520的博客
01-25 472
第一种:使用JDBC的ACCESS驱动程序: 在http://industry.java.sun.com/products/jdbc/drivers下载ACCESS的JDBC驱动程序。 第二种:使用JDBC-ODBC桥访问: Class.forName(sun.jdbc.odbc.JdbcOdbcDriver); conn = DriverManager.getConnection(jdbc:od...
jdbc连接mysql日志_好记性不如烂笔头14-使用log4jdbc显示完整SQL语句和执行时间
weixin_33178459的博客
02-06 597
系统在现网环境下运行,有时候会出现响应比较慢的情况,有时候是因为数据库引起的,有时候是由于中间件引起的,也有可能是别的原因引起的,对一个现网系统来说,响应速度是非常重要的,要能够及时方向慢的地方;还是在现网环境中,特别是一些复杂的数据操作内容,可能不符合数据库的某一些条件导致错误,而我们一般使用ibatis,hibernate,spring这些工具打印的jdbc的sql日志信息,有一点个缺点是占位...
mysqljdbc防止注入占位符_JDBC中的PreparedStatement-防止SQL注入攻击
weixin_30590615的博客
01-28 127
package org.lyk.main;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import org.apache.commons.dbcp2.BasicDataSource;public class Ma...
mysqljdbc防止注入占位符_jdbc怎么防止sql注入
weixin_30453651的博客
01-28 364
JDBC-防止sql注入漏洞使用预编译可有效防止sql的注入漏洞。原因:在statement中不能够有效的防止sql的注入漏洞,在于用户传入参数的时候可能会传入一些特殊字符,比如单引号' ' ,或者是-- 这种会影响到我们的sql语句.所以使用预编译中的占位符,也就是?,可以有效的处理这一问题.public class Prepared {@Testpublic void papa(){Conne...
mysqljdbc防止注入占位符_java的jdbc问号占位符可以防止注入
weixin_29313547的博客
01-19 255
java的jdbc问号占位符可以防止注入吗发布时间:2020-06-15 10:09:02来源:亿速云阅读:154作者:Leahjava的jdbc问号占位符可以防止注入吗?如果你刚好也有这个困惑,不妨参照这篇文章。阅读完整文相信大家对java的占位符有了一定的认识。其实,like是会注入的,也不建议用,用占位符实际查询效果不是like本身的意思,相当全匹配。建议使用instr()函数,本文主要记录...
为啥jdbc问号占位符可以注入
yang_best的专栏
02-09 5816
先看下面用占位符来查询的一句话 String sql = "select * from administrator where adminname=?"; psm = con.prepareStatement(sql); String s_name ="zhangsan' or '1'='1"; psm.setString(1, s_name); 假设数据库表中并没有zhangsan
jdbc防止sql注入问题
m_target的博客
07-28 706
java.sql 接口 PreparedStatement    表示预编译的 SQL 语句的对象 是Statement的子类     特点:             性能高、会把sql语句预先编译、sql语句中的参数会发生变化,过滤掉用户输入的关键字 public class LoginDemo { public static void main(String[] args) {...
JDBC.rar_java jdbc mysql
09-21
通过设置占位符参数,如`SET @param = ?`,然后使用`setXXX()`方法(如`setString()`, `setInt()`)来赋值。 三、处理结果集 1. **ResultSet**:`ResultSet`对象代表SQL查询的结果。我们可以遍历它,通过`next()`...
利用JDBC工具类的方式实现mysql数据库的连接并且完成登录相关功能(sql注入方式)
10-01
在本示例中,我们将探讨如何使用JDBC(Java Database Connectivity)工具类与MySQL数据库建立连接,并实现登录功能,同时重点介绍如何利用PreparedStatement防止SQL注入攻击。 首先,JDBC是Java语言访问数据库的...
sql_homework_servlet_JDBC.zip_JDBC增删改查_jdbc_jdbc学生管理
09-22
这通常涉及使用PreparedStatement的`executeUpdate()`方法,准备一个带有占位符的SQL INSERT语句,然后设置参数值,最后执行插入操作。 2. 删(Delete):删除学生或课程。同样使用PreparedStatement,构建一个...
MySQL(八)之JDBC详解2 用Java代码操纵数据库(PreparedStatement对象进行增删改查、Java代码实现事务)、防止SQL注入、使用IDEA连接数据库、数据库连接池
Hi~ 土拨鼠
02-10 367
十、JDBC 前面提到了SQL注入的问题,那么怎么解决呢? 10.5、PreparedStatement对象 PreparedStatement 可以防止SQL注入。效率更好! 1、新增 import com.fan.demo.utils.JdbcUtils; import java.sql.Connection; import java.util.Date; import java.sql.P...
sql如何封装json_什么是SQL注入?如何预
weixin_29838911的博客
01-16 361
SQL注入是项目开发中很重要的一个概念,初级中级面试的概率非常高,需要重点掌握!喜欢听我叨叨的,直接点击看视频1 准备工作本次演示使用的是目前最热门的Java快速开发架构:SpringBoot2.3.4 + Mybatis + Mysql8先准备一张测试表:drop table if exists `test`; create table `test` ( id bigint not null...
mysqljdbc防止注入占位符_吐槽 MySQL数据库jdbc操作,varchar类型占位符问题——单引号造孽...
weixin_32484541的博客
02-08 290
【声明】 欢迎转载,但请保留文章原始出处→_→ 生命壹号:http://www.cnblogs.com/smyhvae/ 文章来源:http://www.cnblogs.com/smyhvae/p/4050825.html 联系方式:smyhvae@163.com 【正文】很长时间不写代码动手能力明显下降很多常见的错误还是经常发生,今天吐血了一次。简单的坑总是要多跳几次才能甘心。很清晰...
JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5422
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
statement语句操作
听听丶的博客
08-15 3846
/*Statement中有4个执行方法可用 * 1, executeQuery() : 只能执行查询语句 * 2, executeUpdate(): 只能增、删、改, 不能执行查询语句 * 3, execute(): 增、删、改、查的语句都能够执行。只是查询时返回的结果是告诉成功与否,如果要获取查询结果,得另外用" st.getResultSet()"获取 * 4, execute
占位符防止sql注入
恒之传说
03-20 3382
防止sql注入方式: 在sql中使用? String sql= "SELECT * FORM emp where ENAME=?"; PreparedStatement ps = connect.preparedStatement(sql); ps.setString(1,'KING'); ResultSet rs = ps.executeQuery(); sql中使用?赋给值
java的JDBC占位符的使用问题, PreparedStatement 的 ?占位符不可用来设置字段名,表名
qq_45401638的博客
10-28 5481
1. 博主今天被一个问题给困扰半天 就是当 String sql = "select * from user where ?=? "; 在jdbc中的sql语句这样写的时候 控制台 一条数据都查询不出来,究其原因就是?不能作为字段名和表名的占位符 PreparedStatement会为占位符?的两边自动加上单引号,这样会使得SQL语句不可执行,比如使用将表名设置为占位符,数据库执行sql语...
mysql preparedstatement insert_mysql数据库__Jdbc直接操作__PreparedStatement__insert
最新发布
06-09
接下来,我们使用 pstmt.setString() 和 pstmt.setInt() 方法设置 SQL 语句中的占位符参数。最后,我们使用 pstmt.executeUpdate() 方法执行 SQL 语句,并输出插入的行数。 注意,在使用 PreparedStatement 时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值