jdbc java数据库连接 8)防止sql注入

最新推荐文章于 2024-06-01 10:35:00 发布
最新推荐文章于 2024-06-01 10:35:00 发布
阅读量48 收藏
点赞数
文章标签: 数据库 java
原文链接:http://www.cnblogs.com/LZL-student/p/6017377.html
版权

回顾下之前jdbc的开发步骤:

  1:建项目,引入数据库驱动包

  2:加载驱动

    Class.forName(..);

  3:获取连接对象

  4:创建执行sql语句的stmt对象;  sql

  5:执行sql

    a) 更新    delete/insert/update

      !:executeUpdate();       

    b) 查询    select  

      !:executeQuery();

  6:关闭/异常

之前有说过,Statement接口和PreparedStatement接口的区别,其中的一个就是:

  PreparedStatement接口能够防止sql注入

那么,什么是sql注入呢?

  其实sql注入就是用户输入的恶意密码,能够绕过你的用户名和密码登陆。

 

例子:

 

  1:首先创建个数据库

1 -- 创建数据库
2 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i
3 -- 创建表
4 USE jdbc_demo;
5 CREATE TABLE admin(
6     id INT PRIMARY KEY AUTO_INCREMENT,
7     userName VARCHAR(20),
8     pwd VARCHAR(20)
9 )

  

  2:使用Statement接口,没有防止sql注入:

 1 /**
 2  * 模拟用户登陆数据库,演示注入
 3  * 
 4  * @author LLZ
 5  */
 6 public class Two_StatementDemo {
 7 
 8     /**
 9      * 1:sql注入 Statement
10      */
11 
12     private Connection conn;
13     private Statement stsm;
14     private ResultSet rs;
15     private PreparedStatement pstsm;
16 
17     @Test
18     public void Test1() {
19 
20         String user = "tom";
21         // String password = "123";
22         String password = " ' or 1=1 -- /**/ "; // sql注入,这个也可以登陆成功
23 
24         try {
25             // 1.1:加载驱动
26             conn = Jdbcutil.getConnection();
27 
28             // 1.3:创建Statement对象
29             stsm = conn.createStatement();
30 
31             // 1.4:准备sql语句
32             String sql = "select * from jdbc where user='" + user
33                     + "'  and password='" + password + "' ";
34 
35             // 1.5:执行sql
36             rs = stsm.executeQuery(sql);
37 
38             // 1.6:打印返回的结果
39             if (rs.next()) {
40                 System.out.println(rs.getInt("id"));
41             }
42         } catch (Exception e) {
43             e.printStackTrace();
44 
45         } finally {
46             // 1.7:关闭连接
47             try {
48                 rs.close();
49                 stsm.close();
50                 conn.close();
51             } catch (Exception e) {
52 
53                 e.printStackTrace();
54             }
55         }
56     }

 

  3:使用PreparedStatement接口,防止sql注入:

其原因就是由于该接口具有缓存区,需要先执行预编译远,等传入参数才正式执行sql语言

 1 /**
 2      * 二:用PreparedStatement防止sql注入
 3      */
 4     @Test
 5     public void Test2() {
 6 
 7         String user = "tom";
 8         String password = "123";
 9         // String password = " ' or 1=1 -- /**/ "; // sql注入,这个在这里就无法登陆
10         // 准备sql预编译语句
11         String sql = "select * from jdbc where user=? and password=?";
12 
13         try {
14             // 2.1:创建连接
15             conn = Jdbcutil.getConnection();
16 
17             // 2.2:创建PerparedStatement对象(执行预编译)
18             pstsm = conn.prepareStatement(sql);
19 
20             // 2.3:准备参数
21             pstsm.setString(1, user);
22             pstsm.setString(2, password);
23 
24             // 2.4:发送参数,执行sql
25             ResultSet rs = pstsm.executeQuery();
26             if (rs.next()) {
27                 System.out.println(rs.getInt("id"));
28             }
29         } catch (Exception e) {
30             e.printStackTrace();
31         } finally {
32             // 2.5:关闭连接
33             Jdbcutil.close(conn, pstsm, rs);
34         }
35 
36     }

 

转载于:https://www.cnblogs.com/LZL-student/p/6017377.html

weixin_30908103
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题与解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题与解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题)...
JAVA代码审计之SQL注入
06-14
1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。 3、在使用Hibernate...
jdbcsql注入
weixin_30551963的博客
08-21 41
package cn.code.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
java jdbc连接数据库以及sql注入演示与防止
lmsnice的博客
09-15 423
jdbc连接数据库 一、无法防止sql注入 package com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; import com.sun.java_cup.internal.runtime.Symb
java连接数据库操作2--防止sql注入
l-jobs的专栏
12-01 340
sql注入 概念 所谓sql注入,即用户输入的字符串和我们的sql结合产生预判之外的结果,比如下面这段判断用户名密码是否正确的代码 String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'";rs = stmt.executeQ
在编写Java代码时,我们如何改进连接数据库sql拼串语句来预防SQL注入
林大侠
08-04 437
参照-科普中国▪科学百科-sql注入定义 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 ☛应用场景:现...
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。  在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,...
Java学习指南(8) MySQL数据库JDBC框架
06-15
一、课程简介『Java学习指南系列』的第8篇教程 ,介绍MySQL数据库的安装使用,常见SQL语句,以及使用JDBC进行数据库开发的技术。 二、主要内容? * MySQL的安装和使用 * 常用SQL语句,增删改查操作 * 高级SQL查询,多...
jdbc连接和sql注入
06-13
java连接mysql,和mysql语句注入检查,简单程序,需要自己提供数据库
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 8711
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
java sql where and_java – JDBI如何在防止SQL注入的同时动态创建WHERE子句?
weixin_39684235的博客
02-16 111
Inspired by Jean-Bernard我想出了这个:public class WhereClause {public HashMap queryValues; // [, ]public String preparedString; // "WHERE foo=:foo AND bar=:baz"}哪个是通过自定义Binder BindWhereClause绑定的:@BindingAnn...
JAVA-SQL注入攻击
dxm809的博客
12-27 722
CREATE TABLE users(     id INT PRIMARY KEY AUTO_INCREMENT,     username VARCHAR(100),     PASSWORD VARCHAR(100) ); INSERT INTO users(username,PASSWORD) VALUES('a','1'),('b','2'); SELECT * FROM user...
JDBC及防sql注入攻击
We_chuan的博客
12-25 238
哪有什么一夜成名,都是百炼成钢 JDBC JDBCJava DataBase Connectivity,java数据库连接)又SUN公司开发,是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。 简单地说,JDBC 可做三件事:与...
关于jdbc的介绍以及PreparedStatement和Statement牵涉的sql注入问题解决
热门推荐
BestQiang的博客
03-08 1万+
1 什么是JDBC JDBCJava DataBase Connectivity)就是Java数据库连接,说白了就是用Java语言来操作数据库。原来我们操作数据库是在控制台使用SQL语句来操作数据库JDBC是用Java语言向数据库发送SQL语句。 2 JDBC原理 早期SUN公司的天才们想编写一套可以连接天下所有数据库的API,但是当他们刚刚开始时就发现这是不可完成的任务,因为各个厂...
专属编程笔记
最新发布
u014397365的博客
06-01 990
在软件开发中,Utils(或Utilities)目录通常用于存放一些。这些工具类或函数为整个应用程序或多个模块提供便利的功能支持,使得代码更加模块化、易于维护和重用。UtilsUtils目录的设计目的在于避免代码重复,并确保在整个项目中以一致的方式处理共通任务。这样做可以提高开发效率,降低维护成本,并确保代码的整洁性和可读性。
如何mysql数据导入到mongdb
codemami的博客
05-30 1530
由于MySQL和MongoDB的数据模型不同(例如,MySQL使用关系模型,而MongoDB使用文档模型),你可能需要转换数据的格式。使用MongoDB驱动程序:你也可以使用MongoDB的官方驱动程序(如Python的pymongo)来编写脚本,将数据直接插入到MongoDB中。注意:如果你的JSON文件包含多个文档,并且它们不是作为数组的一部分(即每个文档都在其自己的行上),则需要使用--jsonArray选项。手动转换:对于小型数据集,你可以手动编辑SQL或CSV文件,将其转换为JSON格式。
oracle中的INTERVAL函数学习总结
weixin_42821740的博客
05-30 559
简单学懂interval函数
行列视(RCV)能否在指定时间生成报表数据?
2401_83701843的博客
05-30 186
需要注意的是,要实现指定时间生成报表数据的功能,用户需要确保行列视(RCV)系统已经正确配置并连接了相应的数据源,同时还需要根据实际需求进行报表格式和计算逻辑的设置。此外,系统的稳定性和性能也是影响报表生成的重要因素,用户需要确保系统能够正常运行并处理大量的数据。其次,关于指定时间生成报表数据的需求,用户可以通过行列视(RCV)的定时任务功能来实现。综上所述,行列视(RCV)具备在指定时间生成报表数据的能力,但具体实现方式需要根据系统的配置和使用需求来确定。
原生JDBC如何防止SQL注入
07-08
原生JDBC中可以通过使用参数化查询来防止SQL注入攻击。SQL注入是一种攻击方式,通过在用户输入中插入恶意的SQL代码,从而破坏数据库的完整性和安全性。 使用参数化查询可以将用户输入的值作为参数传递给SQL语句,而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值