JDBC中的PreparedStatement-防止SQL注入攻击

最新推荐文章于 2021-12-10 15:11:06 发布
最新推荐文章于 2021-12-10 15:11:06 发布
阅读量103 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/kuillldan/p/5865158.html
版权

在JDBC对数据库进行操作的时候,SQL注入是一种常见的针对数据库的注入攻击方式。如下面的代码所演示,在我们的提交字段中掺入了SQL语句,会使得程序的登录校验失效:

package org.lyk.main;

 

import java.sql.Connection;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.sql.Statement;

import java.util.ArrayList;

import java.util.List;

 

import org.apache.commons.dbcp2.BasicDataSource;

import org.omg.CORBA.PUBLIC_MEMBER;

 

import com.mysql.jdbc.DatabaseMetaData;

 

public class Main

{

       public static String DBDRIVER = "com.mysql.jdbc.Driver";

       public static String DB_URL = "jdbc:mysql://localhost:3306/mldn";

       public static String USERNAME = "root";

       public static String PASSWORD = "admin";

       public static BasicDataSource bds = null;

 

       public static void main(String[] args)

       {

              dbPoolInit();

              System.out.println(verify("LIU YAN' -- ", "XXX"));

              System.out.println("///Done~~~");

       }

 

       public static void dbPoolInit()

       {

              bds = new BasicDataSource();

              bds.setDriverClassName(DBDRIVER);

              bds.setUrl(DB_URL);

              bds.setUsername(USERNAME);

              bds.setPassword(PASSWORD);

       }

      

       public static boolean verify(String name, String password)

       {

              Connection conn = null;

              Statement stmt = null;

              ResultSet rs = null;

              String sql = "SELECT COUNT(*) FROM user WHERE name='"+name+"' and password='"+password+"';";

              System.out.println(sql);

             

              boolean retVal = false;

              try

              {

                     conn = bds.getConnection();

                     stmt = conn.createStatement();

                     rs = stmt.executeQuery(sql);

                     if(rs.next() && rs.getInt(1) == 1)

                     {

                           retVal = true;

                     }

                     //System.out.println(rs.getInt(1));

              } catch (SQLException e)

              {

                     // TODO Auto-generated catch block

                     e.printStackTrace();

              }

              finally

              {

                     try

                     {

                           if(conn != null )

                                  conn.close();

                           if(stmt != null)

                                  stmt.close();

                           if(rs != null)

                                  rs.close();

                     }

                     catch(Exception exception)

                     {

                           //ignore all exceptions when closing...

                     }

              }

              return retVal;

       }

}

 

 

为了解决这个问题,可以使用PreparedStatement来防止该类型的攻击。

其演示代码如下:

package org.lyk.main;

 

import java.sql.Connection;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.sql.SQLException;

 

import org.apache.commons.dbcp2.BasicDataSource;

 

 

 

public class Main

{

       public static String DBDRIVER = "com.mysql.jdbc.Driver";

       public static String DB_URL = "jdbc:mysql://localhost:3306/mldn";

       public static String USERNAME = "root";

       public static String PASSWORD = "admin";

       public static BasicDataSource bds = null;

 

       public static void main(String[] args)

       {

              dbPoolInit();

              System.out.println(verify("LIU YAN' -- ", "XXX"));

              System.out.println("///Done~~~");

       }

 

       public static void dbPoolInit()

       {

              bds = new BasicDataSource();

              bds.setDriverClassName(DBDRIVER);

              bds.setUrl(DB_URL);

              bds.setUsername(USERNAME);

              bds.setPassword(PASSWORD);

       }

      

       public static boolean verify(String name, String password)

       {

              Connection conn = null;

              PreparedStatement stmt = null;

              ResultSet rs = null;

             

              String sql = "SELECT COUNT(*) FROM user WHERE name=? and password=? ;";

             

              System.out.println(sql);

             

              boolean retVal = false;

              try

              {

                     conn = bds.getConnection();

                     stmt = conn.prepareStatement(sql);

                     stmt.setString(1, name);

                     stmt.setString(2, password);

                    

                     rs = stmt.executeQuery();

                     if(rs.next() && rs.getInt(1) == 1)

                     {

                           retVal = true;

                     }

                     //System.out.println(rs.getInt(1));

              } catch (SQLException e)

              {

                     // TODO Auto-generated catch block

                     e.printStackTrace();

              }

              finally

              {

                     try

                     {

                           if(conn != null )

                                  conn.close();

                           if(stmt != null)

                                  stmt.close();

                           if(rs != null)

                                  rs.close();

                     }

                     catch(Exception exception)

                     {

                           //ignore all exceptions when closing...

                     }

              }

              return retVal;

       }

}

 

转载于:https://www.cnblogs.com/kuillldan/p/5865158.html

weixin_30872867
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 463
为什么在JavaPreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
转!! PreparedStatement是如何防止SQL注入
weixin_30437337的博客
01-04 115
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC通常会使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
Java-JDBC防止SQL注入攻击
yy310585的博客
01-29 246
Java-JDBC防止SQL注入攻击 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 例如 我们在JDBC写的验证用户登录的方法是直接使用Statement执行的,那么SQL语句就是直接使用字符串拼接的形"select * from account where username ='"+username+"' and passwo
为什么说 PreparedStatement 可以防止 sql 注入
艾斯比
03-18 648
先介绍下概念 sql 注入 sql 注入: 本来是作为 sql 的某个字段值, 却变成了单独的 sql 语句被执行. 有极大的安全风险. -- # 本来是传入 name 字符串 select * from t_person where name = ? # 结果我们传入 ''; truncate table t_person2; 就会变成如下, 导致 t_person2 表被清空 # 这就是 sql 注入, 有极大安全风险 select * from t_person where name =
prepareStatement 是如何防止SQL注入的?
qq_24192465的博客
01-23 570
String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try { PreparedStatement pset_f = conn.prepareStatement(sql); pset_f.setString(1,inds[j]); pset_f.set...
JDBC如何有效防止SQL注入
12-14
JavaJDBC编程防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql...若不得不使用“${xxx}”这样的参数,要手工地做好过滤工作,来防止sql注入攻击
sqljdbc4-4.0.zip
06-02
7. **安全性**:考虑使用`PreparedStatement`而不是`Statement`,因为前者可以防止SQL注入攻击,并且通常更高效。 8. **事务管理**:JDBC支持事务,你可以通过`Connection`对象的`setAutoCommit()`和`commit()`方法...
JDBC-and-SQL-test
03-26
3. **Statement/PreparedStatement**:`Statement`用于执行静态SQL语句,而`PreparedStatement`则用于执行预编译的SQL语句,它可以防止SQL注入攻击,并提高性能。 4. **ResultSet**:当执行查询时,结果通常会被...
mybatis如何防止SQL注入
01-05
SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过提交恶意的SQL代码到应用程序的输入字段(如表单、URL等),利用这些输入来操控数据库执行非预期的操作,进而获取敏感数据、修改数据甚至破坏整个数据库...
jdbc,preparedStatement是如何防止SQL注入
三也_攻城狮
11-15 2665
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构. 如果有一条SQL语句: "select * from 表 where 用户名 = '用户名'" Statement的SQL语句是这样写的: "select * from 表 where 用户名 = '
PreparedStatement 为什么能够防止注入攻击
IrvingW的博客
04-07 1940
其实是预编译功能,用preparedstatement就会把sql的结构给数据库预编译。SQL注入 攻 击 是利用是指利用 设计 上的漏洞,在目 标 服 务 器上运行 Sql语 句以及 进 行其他方的 攻 击 , 动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。 对 于 JDBC而言, SQL注入 攻 击 只 对 Statem
剖析JDBC代码——SQL注入攻击(浅显易懂)——Statement
FlorenceZKY的博客
04-19 312
1、创建一个模拟的类UserLogin package com.sie.train; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.u...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2594
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
JDBC使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5386
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5006
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5881
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC通常会使用PreparedStatement来代替Statement来处理sql语句,如 String
为什么preparedstatement防止sql注入_使用Python防止SQL注入攻击的实现示例
weixin_39614704的博客
11-22 389
文章背景每隔几年,开放Web应用程序安全项目就会对最关键的Web应用程序安全风险进行排名。自第一次报告以来,注入风险高居其位!在所有注入类型SQL注入是最常见攻击手段之一,而且是最危险的。由于Python是世界上最流行的编程语言之一,因此了解如何防止Python SQL注入对于我们来说还是比较重要的那么在写这篇文章的时候我也是查询了国内外很多资料,最后带着问题去完善总结:什么是Python...
PreparedStatement可以防止sql注入的原因
一蓑烟雨任平生
06-29 2375
预编译语句: select * from user where username like #{name} 预处理PrepatedStatement的参数占位符 :select * from user where username like ? #{}是 sql 的参数占位符,Mybatis 会将 sql 的#{}替换为?号,在 sql 执行前会使用 PreparedStatement 的参数设置方法,按序给 sql 的?号占位符设置参数值, 预编译语句可以重复使用这些计划,减少 SQL 编译所.
Oracle开发人员防范SQL注入攻击指南
"Oracle开发人员SQL注入攻击入门教程" 这篇文档详细介绍了Oracle开发人员需要知道的关于SQL注入攻击的相关知识,旨在提高对这种攻击的认识并提供防御策略。以下是主要的知识点: 1、**SQL注入概述** SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值