mysql prepare 防注入_mysql-preparestatement防止sql注入

最新推荐文章于 2024-09-09 08:42:59 发布
最新推荐文章于 2024-09-09 08:42:59 发布
阅读量482 收藏
点赞数
文章标签: mysql prepare 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31088605/article/details/113222393
版权

项目中--遇到类似问题。

一、什么是sql注入?

先举个栗子:用户登录

SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'

注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'

可以看到注入后可以免密码登录。

相信上面的例子已经可以让你明白sql注入的危害了。下面是概念--(抄袭==)

SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

二、字符串拼接的sql?

上面的sql问题是直接使用了字符串拼接导致的,导致出现了漏洞。

三、preparestatement?

(一)优势?

preparestatement是执行sql查询的api:1、mysql会预先编译好,缓存下来以便下次重复使用;2、可以避免大部分sql注入(欢迎补充)

(二)如何避免sql注入?(贴代码了)

String sql = "SELECT * FROM EMPLOYEE WHERE ID = ?";

Connection conn= null;try{

conn=dataSource.getConnection();

PreparedStatement ps=conn.prepareStatement(sql);

ps.setInt(1, id);

Employee employee= null;

ResultSet rs=ps.executeQuery();if(rs.next()) {

employee= newEmployee(

rs.getInt("ID"),

rs.getString("NAME"),

rs.getInt("AGE")

);

}

rs.close();

ps.close();returnemployee;

}catch(SQLException e) {throw newRuntimeException(e);

}finally{if (conn != null) {try{

conn.close();

}catch (SQLException e) {}

当然,如果使用mybatis,就可以省去这些工作了。

其他问题:

1、对order by之类的,怎么使用preparestatement呢?

解答:结合stringformat使用,先替换掉%s之类的。

参考:

酱小匠
关注
使用PrepareStatement防止SQL注入
Ant_in_IT的博客
03-11 387
* 模拟sql注入,使用preparedstatment防止sql注入 import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java....
mysql根据用户名查询_SQL --------JDBC 用用户名查询用户的信息
weixin_39655160的博客
02-05 2132
package demo;import java.io.IOException;import java.sql.Connection;import java.sql.DriverManager;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.sq...
java prepare mysql_MySQL_(Java)使用preparestatement解决SQL注入的问题
weixin_42361026的博客
01-21 245
importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;importjava.sql.Statement;public classJDBC01 {public static ...
mysql性能优化-预处理语句(Prepared Statements)
最新发布
Flying_Fish_roe的博客
09-09 1419
预处理语句(Prepared Statements)是一种将 SQL 查询与其参数分离的机制。与传统的查询方式不同,预处理语句首先会将 SQL 查询进行编译、优化,并将其缓存,随后可以多次执行该查询,而不必每次都重新编译和解析 SQL 语句。每次执行时,预处理语句只需要提供不同的参数即可,这使得它在需要执行多次相同 SQL 查询的场景中具有明显的性能优势。准备阶段:MySQL 将 SQL 查询语句进行编译和解析,并生成执行计划。执行阶段:传递参数,执行已编译的 SQL 语句,获取结果。
转!! PreparedStatement是如何防止SQL注入
weixin_30437337的博客
01-04 127
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
PrepareStatement防止数据库注入
nuptxiaoli
10-23 458
package cn.test.javaee.service; import org.junit.Test; import cn.test.entity.User; import cn.test.javaee.service.impl.UserServiceImpl; public class IUserServiceTest { @Test public void testLogin
mysql的PrepareStatement
zhanglm
06-09 184
dba发邮件说: [quote]如果是从java中连mysql,使用PrepareStatement的话,默认情况下真正发给服务器端之前已经把?替换了 也就是跟普通的Statement一样 在5.0开始虽然有了真正的PrepareStatement但是开启的方式令人匪夷所思 网上虽然有资料说设置useServerPrepStmts=true 可以开启 但事实上这是无...
MySQL prepare语句的SQL语法
01-19
MySQL prepare语法: PREPARE statement_name FROM preparable_SQL_statement; /*定义*/ EXECUTE statement_name [USING @var_name [, @var_name] …]; /*执行预处理语句*/ {DEALLOCATE | DROP} PREPARE statement_...
Digital_Innovation_One_Banco-de-Dados
03-20
PreparedStatement允许预编译SQL语句,提高性能且更安全,防止SQL注入攻击。例如: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE id=?"); pstmt.setInt(1, userId); ...
golang防止MySQL注入_Mysql读写分离+防止sql注入攻击「GO源码剖析」
weixin_32900811的博客
01-19 1225
一、读写分离和防止sql注入的必要性(foreword)1、 读写分离:一句话定义:读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库。图1-1 主从读写分离示意图读写分离的好处:(1) 增加冗余(2) 增加了机器的处理能力(3) 对于读操作为主的应用...
mysql connector bin_mysql-connector-java-xxx-bin.jar包的使用
weixin_42510026的博客
01-25 905
Class.forName("com.mysql.jdbc.Driver")的作用第一步、将mysql连接包放在lib目录上,并右键Build Path——Add to Build Path,即可将其加载进eclipse中的引用包Reference Library下,作为提供ava中连接数据库的驱动。第二步、编写代码,Student实体对象类、JDBC类以及测试类。Student类:package...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1582
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1340
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 532
参数化查询是编写安全数据库代码的最佳实践之一。
PrepareStatement用于防止SQL注入
乐子
06-01 534
prepareStatement 更加安全,能够防止sql注入,威胁数据库安全。  例如:    如果用户输入'' or 1=1  登录验证时查询语句变为select * from user where username='' or 1=1;  依然成立 绕过验证。  还有很多sql注入代码~~  prepareStatement 能够预处理sql语句,防止这种情况 在使用prep
MYSQL Prepare Statement
iteye_10063的博客
04-01 162
prepared statement 引用網址: http://dev.mysql.com/tech-resources/articles/4.1/prepared-statements.html prepared statement prepared statement是什麼? Prepared statement 可以讓你在第一次執行時sql時,先設定sql敘述,讓以後...
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
CSDN 精品推荐
12-22 279
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
PreparedStatement注入demo
欧阳子遥的博客
08-01 232
PreparedStatement有效防止注入的简单示例(源码在后面): (statement实现简单注入在上一篇博客) 程序截图: 图一 登录成功 图二 登录失败 图三 SQL简单注入失效 图四 数据库表截图 程序源码: package sqlzhuru; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet;
MySQL Prepared Statement
gcl的博客
12-06 810
MySQL Prepared Statement
mysql连接jdbc增删改_JDBC----用JDBC连接Mysql并进行增删改查操作
06-06
好的,我可以为您解答JDBC连接MySQL并进行增删改查操作的问题。 首先,您需要确保已经安装了MySQL数据库和Java开发环境。然后,您需要下载MySQL提供的JDBC驱动程序,将其添加到您的Java项目中。 接下来,您可以使用以下代码示例来连接MySQL数据库并进行增删改查操作: ``` import java.sql.*; public class JdbcExample { public static void main(String[] args) throws SQLException { Connection conn = null; PreparedStatement pstmt = null; ResultSet rs = null; try { // 连接到数据库 conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "username", "password"); // 执行查询操作 pstmt = conn.prepareStatement("SELECT * FROM mytable"); rs = pstmt.executeQuery(); while (rs.next()) { // 处理查询结果 String name = rs.getString("name"); int age = rs.getInt("age"); System.out.println("Name: " + name + ", Age: " + age); } // 执行插入操作 pstmt = conn.prepareStatement("INSERT INTO mytable (name, age) VALUES (?, ?)"); pstmt.setString(1, "John"); pstmt.setInt(2, 30); int rows = pstmt.executeUpdate(); System.out.println(rows + " row(s) inserted."); // 执行更新操作 pstmt = conn.prepareStatement("UPDATE mytable SET age = ? WHERE name = ?"); pstmt.setInt(1, 31); pstmt.setString(2, "John"); rows = pstmt.executeUpdate(); System.out.println(rows + " row(s) updated."); // 执行删除操作 pstmt = conn.prepareStatement("DELETE FROM mytable WHERE name = ?"); pstmt.setString(1, "John"); rows = pstmt.executeUpdate(); System.out.println(rows + " row(s) deleted."); } catch (SQLException e) { e.printStackTrace(); } finally { if (rs != null) { rs.close(); } if (pstmt != null) { pstmt.close(); } if (conn != null) { conn.close(); } } } } ``` 在这个代码示例中,我们首先使用`DriverManager.getConnection()`方法连接到MySQL数据库,然后使用`PreparedStatement`对象执行查询、插入、更新和删除操作。最后,我们使用`ResultSet`对象处理查询结果,使用`SQLException`对象处理异常,使用`close()`方法关闭数据库连接、语句和结果集。 当然,在实际开发中,您需要根据自己的需求进行适当的修改和优化。希望这个示例可以帮助您理解如何使用JDBC连接MySQL并进行增删改查操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值