Java学习笔记47(JDBC、SQL注入攻击原理以及解决)

最新推荐文章于 2022-11-24 17:19:05 发布
最新推荐文章于 2022-11-24 17:19:05 发布
阅读量88 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/xuyiqing/p/8323664.html
版权

JDBC:java的数据库连接

JDBC本质是一套API,由开发公司定义的类和接口

这里使用mysql驱动,是一套类库,实现了接口

驱动程序类库,实现接口重写方法,由驱动程序操作数据库

 

JDBC操作步骤:

1.注册驱动

2.获得连接

3.获得语句执行平台

4.执行sql语句

5.处理结果

6.释放资源

 

1.导入jar包,可以在网上下载到,这里使用的是:mysql-connector-java-5.1.37-bin.jar

注册驱动:

package demo;

import java.sql.DriverManager;
import java.sql.SQLException;

import com.mysql.jdbc.Driver;

public class JDBCDemo {
    public static void main(String[] args) throws SQLException, ClassNotFoundException {
        //注册驱动
        //DriverManager.registerDriver(new Driver());
        //不推荐上边这种方法,建议用反射技术,将驱动类加入内存
        Class.forName("com.mysql.jdbc.Driver");
    }
}

 

2.获得连接:

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;

public class JDBCDemo {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.jdbc.Driver");
        //获得数据库连接
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username = "root";
        String password = "xuyiqing";
        Connection con = DriverManager.getConnection(url,username,password);
        System.out.println(con);
    }
}

 

3.获取语句执行平台

通过数据库连接对象,获取到sql语句的执行者对象

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;

public class JDBCDemo {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username = "root";
        String password = "xuyiqing";
        Connection con = DriverManager.getConnection(url,username,password);
        //获取语句执行平台
        Statement stat = con.createStatement();
        System.out.println(stat);
    }
}

 

4.执行sql语句:

准备数据:

CREATE TABLE sort(
    sid INT PRIMARY KEY AUTO_INCREMENT,
    sname VARCHAR(100),
    sprice DOUBLE,
    sdesc VARCHAR(5000)
    );
INSERT INTO sort(sname,sprice,sdesc) VALUES('家电',2000,'促销'),
('家具',8900,'价格上涨'),
('玩具',300,'赚钱'),
('生鲜',500.99,'促销'),
('服装',24000,'促销'),
('洗涤',50,'促销');

SELECT * FROM sort;

 

执行sql语句:

1.增删改

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;

public class JDBCDemo {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username = "root";
        String password = "xuyiqing";
        Connection con = DriverManager.getConnection(url,username,password);
        Statement stat = con.createStatement();
        //执行sql语句
        //这种方法注意:只能使用insert,delete,update语句
        int row = stat.executeUpdate("INSERT INTO sort(sname,sprice,sdesc) VALUES('汽车',2000,'促销');");
        System.out.println(row);
        //释放资源
        stat.close();
        con.close();
    }
}

 

2.查询

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

public class JDBCDemo {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username = "root";
        String password = "xuyiqing";
        Connection con = DriverManager.getConnection(url,username,password);
        Statement stat = con.createStatement();
        //查询sql语句
        String sql= "SELECT * FROM sort"; 
        //这个方法用于执行sql中的select查询
        ResultSet rs = stat.executeQuery(sql);
        //处理结果集
        while(rs.next()){
            //获取每列数据
            System.out.println(rs.getInt("sid")+"   "+rs.getString("sname")+
                    "   "+rs.getDouble("sprice")+"   "+rs.getString("sdesc"));
        }
        rs.close();
        stat.close();
        con.close();
    }
}

输出:



 

SQL注入攻击简单案例:

CREATE TABLE users(
     id INT PRIMARY KEY AUTO_INCREMENT,
     username VARCHAR(100),
     PASSWORD VARCHAR(100)
);

INSERT INTO users (username,PASSWORD) VALUES ('a','1'),('b','2');
package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

/*
 *  Java程序实现用户登录,用户名和密码,数据库检查
 *  演示被别人注入攻击
 */
public class JDBCDemo {
    public static void main(String[] args)throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username = "root";
        String password = "xuyiqing";
        Connection con = DriverManager.getConnection(url, username, password);
        Statement stat = con.createStatement();
        
        Scanner sc = new Scanner(System.in);
        String user = sc.nextLine();
        String pass = sc.nextLine();
        
        //执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
        String sql = "SELECT * FROM users WHERE username='"+user+"' AND PASSWORD='"+pass+"'";
        System.out.println(sql);
        ResultSet rs = stat.executeQuery(sql);
        while(rs.next()){
            System.out.println(rs.getString("username")+"   "+rs.getString("password"));
        }
        
        rs.close();
        stat.close();
        con.close();
    }
}

正常情况,必须输入a,1或者b,2才可以登录成功

这里如果这样输入:

1=1恒成立,or两边只要有一边成立就会成功,这里就实现了最简单的sql注入攻击

 

 

解决:


使用PrepareStatement接口

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

/*
 *  Java程序实现用户登录,用户名和密码,数据库检查
 *  防止注入攻击
 *  Statement接口实现类,作用执行SQL语句,返回结果集
 *  有一个子接口PreparedStatement  (SQL预编译存储,多次高效的执行SQL) 
 *  PreparedStatement的实现类数据库的驱动中,如何获取接口的实现类
 *  
 *  是Connection数据库连接对象的方法
 *  PreparedStatement prepareStatement(String sql) 
          
 */
public class JDBCDemo {
    public static void main(String[] args)throws Exception {
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username = "root";
        String password = "xuyiqing";
        Connection con = DriverManager.getConnection(url, username, password);
        Scanner sc = new Scanner(System.in);
        String user = sc.nextLine();
        String pass = sc.nextLine();
        
        //执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
        String sql = "SELECT * FROM users WHERE username=? AND PASSWORD=?";
        //调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
        //方法中参数,SQL语句中的参数全部采用问号占位符
        PreparedStatement pst =  con.prepareStatement(sql);
        System.out.println(pst);
        //调用pst对象set方法,设置问号占位符上的参数
        pst.setObject(1, user);
        pst.setObject(2, pass);
        
        //调用方法,执行SQL,获取结果集
        ResultSet rs = pst.executeQuery();
        while(rs.next()){
            System.out.println(rs.getString("username")+"   "+rs.getString("password"));
        }
        
        rs.close();
        pst.close();
        con.close();
    }
}

 

发现这个接口更安全,所以建议使用这个接口实现增删改查

使用PrepareStatement接口,实现数据表的更新操作

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

/*
 *  使用PrepareStatement接口,实现数据表的更新操作
 */
public class JDBCDemo {
    public static void main(String[] args) throws Exception{
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username="root";
        String password="xuyiqing";
        Connection con = DriverManager.getConnection(url, username, password);    
        
        //拼写修改的SQL语句,参数采用?占位
        String sql = "UPDATE sort SET sname=?,sprice=? WHERE sid=?";
        //调用数据库连接对象con的方法prepareStatement获取SQL语句的预编译对象
        PreparedStatement pst = con.prepareStatement(sql);
        //调用pst的方法setXXX设置?占位
        pst.setObject(1, "车");
        pst.setObject(2, 49988);
        pst.setObject(3, 7);
        //调用pst方法执行SQL语句
        pst.executeUpdate();
        
        pst.close();
        con.close();
    }
}

 

 PrepareStatement接口实现数据表的查询操作

package demo;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

/*
 *  PrepareStatement接口实现数据表的查询操作
 */
public class JDBCDemo {
    public static void main(String[] args) throws Exception{
        Class.forName("com.mysql.jdbc.Driver");
        String url = "jdbc:mysql://localhost:3306/mybase";
        String username="root";
        String password="xuyiqing";
        Connection con = DriverManager.getConnection(url, username, password);    
        
        String sql = "SELECT * FROM sort";
        
        PreparedStatement pst = con.prepareStatement(sql);
        
        //调用pst对象的方法,执行查询语句,Select
        ResultSet rs=pst.executeQuery();
        while(rs.next()){
            System.out.println(rs.getString("sid")+"  "+rs.getString("sname")+"  "+rs.getString("sprice")+"  "+rs.getString("sdesc"));
        }
        rs.close();
        pst.close();
        con.close();
    }
}

 

转载于:https://www.cnblogs.com/xuyiqing/p/8323664.html

weixin_30389003
关注
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
JDBC-API详解、SQL注入演示、连接池
树叶子的博客
02-24 899
在开发我们使用的是java语言,那么势必要通过java语言操作数据库的数据。这就是接下来要学习JDBC。Statement对象的作用就是用来执行SQL语句。而针对不同类型的SQL语句使用的方法也不一样。执行DDL、DML语句执行DQL语句该方法涉及到了ResultSet对象,而这个对象我们还没有学习,一会再重点讲解。封装了SQL查询语句的结果。ResultSet executeQuery(sql) :执行DQL 语句,返回 ResultSet 对象那么我们就需要从ResultSet。
JDBCSQL注入
DZH2020的博客
08-14 1148
JDBCSQL注入
JDBC原生编程以及SQL注入详解
fath_kevin的博客
07-29 1000
   SQL注入;          一SQL注入:通过在Web表单输入(恶意)SQL语句而连接到一个存在安全漏斗的网站上的数据库,而不是按照设计者意图去执行SQL语句;            例如: String username="hello' or 1='1"; String password ="123456"; String sql=” "SELECT * FROM t_...
SQL注入原理、过程、防御方案、RASP概念
qq_37432174的博客
11-24 1215
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的语句上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。1.寻找到SQL注入的位置。
Java后端学习笔记JDBC(一)
12-14
PreparedStatement是JDBC提供的一种预编译的SQL语句,可以防止SQL注入攻击,并且允许批量处理。以下是一些基本操作的例子: 1. **创建(Create)**: ```java String sql = "INSERT INTO table_name (column1, ...
JDBC学习笔记
10-10
- **问题**:使用字符串拼接的方式构造SQL语句容易导致SQL注入攻击。 - **解决方案**:使用`PreparedStatement`代替`Statement`,预编译SQL语句并使用占位符代替动态值。 #### 七、PreparedStatement的应用 - **...
JDBC基础-Java学习笔记
05-28
- 使用 `PreparedStatement` 可以防止 SQL 注入攻击。 3. **性能提升**: - 预编译语句可以减少解析 SQL 语句的时间,提高执行效率。 4. **易于维护**: - 由于采用了统一的接口,因此更容易维护和升级数据库应用...
传智播客视频Jdbc学习笔记
12-20
)代替SQL语句的参数值,这样可以有效防止SQL注入攻击。在准备SQL语句时,可以将不确定的参数位置用问号代替,然后通过`setXXX()`方法设置参数的实际值,这使得SQL语句在执行前已经正确格式化,从而提高了安全性。...
JDBC学习笔记.zip
最新发布
01-23
`,防止SQL注入攻击,提高代码可读性和安全性。 - **多次执行**:适合多次执行相同的SQL,因为预编译后的SQL只需要改变参数即可。 ### 4. CallableStatement与存储过程 - **CallableStatement**是用于调用数据库...
JDBC之【SQL注入
weixin_48485216的博客
04-16 1592
sql注入原理 用户输入的信息含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBCSQL注入与注入攻击原理
YCixZoem的博客
03-12 964
最近在学jdbc数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库,则视为字符串的一
JDBC防止SQL注入原理
tinaselling的博客
11-22 1495
一、基本解釋 1.JDBCJava DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
Java使用JDBC开发 之 SQL注入攻击解决方案
ONESTARの博客
08-01 3221
目录 一、注入攻击 二、注入攻击解决方案 一、注入攻击 在用户登录的时候,我们往往需要输入账号和密码,通过账号和密码和数据库保存的账号密码进行匹配,匹配成功则登录成功,但是在匹配的时候会存在注入攻击的安全隐患,在输入账号和密码的时候,在末尾加上"or" 再接上任何为真的语句,这样一来,有真就为真,这样也能登录成功。 现有 mylogon 数据库,里面有 users 数据表,存储了账号...
防止SQL注入
weixin_33873846的博客
03-28 196
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
JDBCSQL注入
离开屏幕的光,哪盏灯照亮你的孤独?
02-19 340
SQL注入,PreparedStatement和Statement 在SQL包含特殊字符或SQL的关键字(如:' or 1 or ')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。 PreperedStatement(从Statement扩展而来)相对Statement的优点: 没有SQL注入的问题。 Stateme...
java mysql 注入攻击_java-sql注入攻击
weixin_42127937的博客
01-27 214
注射式攻击原理SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令,这样的话,远程用户就不仅能向We...
简单的SQL注入原理
热门推荐
天跃
09-19 3万+
小白学了一点简单的SQL注入,做了点笔记,感觉挺详细,希望能帮助到学习的伙伴。大佬勿喷,有不足多多的指教。 实验原理 SQL注入攻击是通过将恶意的SQL查询或添加语句插入到应用的输入参数,再在后台SQL服务器上解析执行进行的攻击,它目前是黑客对数据库进行攻击的最常用的手段之一。本课程将带你从介绍web应用运行原理开始,一步一步理解SQL注入的由来,原理攻击方式。 SQL注入带来的威胁主要...
Java JDBC学习笔记:从基础到进阶
"这篇学习笔记主要介绍了JDBC的基础知识,包括其在Java数据库交互的作用、核心API的使用以及为什么选择新版本的驱动。通过JDBC,开发者能够使用Java代码对各种数据库(如MySQL、Oracle)进行CRUD操作。笔记强调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值