mysql prepare 防注入_mysql-preparestatement防止sql注入

最新推荐文章于 2024-04-17 18:37:43 发布
最新推荐文章于 2024-04-17 18:37:43 发布
阅读量465 收藏
点赞数
文章标签: mysql prepare 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31088605/article/details/113222393
版权

项目中--遇到类似问题。

一、什么是sql注入?

先举个栗子:用户登录

SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'

注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'

可以看到注入后可以免密码登录。

相信上面的例子已经可以让你明白sql注入的危害了。下面是概念--(抄袭==)

SQL注入攻击(SQL Injection),简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。

而造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。

二、字符串拼接的sql?

上面的sql问题是直接使用了字符串拼接导致的,导致出现了漏洞。

三、preparestatement?

(一)优势?

preparestatement是执行sql查询的api:1、mysql会预先编译好,缓存下来以便下次重复使用;2、可以避免大部分sql注入(欢迎补充)

(二)如何避免sql注入?(贴代码了)

String sql = "SELECT * FROM EMPLOYEE WHERE ID = ?";

Connection conn= null;try{

conn=dataSource.getConnection();

PreparedStatement ps=conn.prepareStatement(sql);

ps.setInt(1, id);

Employee employee= null;

ResultSet rs=ps.executeQuery();if(rs.next()) {

employee= newEmployee(

rs.getInt("ID"),

rs.getString("NAME"),

rs.getInt("AGE")

);

}

rs.close();

ps.close();returnemployee;

}catch(SQLException e) {throw newRuntimeException(e);

}finally{if (conn != null) {try{

conn.close();

}catch (SQLException e) {}

当然,如果使用mybatis,就可以省去这些工作了。

其他问题:

1、对order by之类的,怎么使用preparestatement呢?

解答:结合stringformat使用,先替换掉%s之类的。

参考:

酱小匠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis如何防止SQL注入
蜻蜓队长
09-11 1214
*** sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); preparedStatement 预编译对象
java prepare mysql_MySQL_(Java)使用preparestatement解决SQL注入的问题
weixin_42361026的博客
01-21 220
importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;importjava.sql.Statement;public classJDBC01 {public static ...
MySQL Prepared Statement
gcl的博客
12-06 651
MySQL Prepared Statement
MySQL Prepared语句(Prepared Statements)
最新发布
Vincent的博客
04-17 1182
在数据库应用中,很多SQL语句都会重复执行很多次,每次执行可能只是where条件中的变量值不同,但MySQL依然会解析SQL语法并生成执行计划。对于这类情况,可以利用prepared语句来避免重复解析SQL的开销。
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5307
PrepareStatement 基本用法 与 SQL注入分析
关于order by后面不能使用参数传递值问题。
sb1ue的专栏
10-30 4805
今天,在小程序中做到排序功能时,莫名抛出了一个奇怪的错误。'@P3' 附近有语法错误。代码如下: @Override public List getUsers(int index,StringBuffer sb,int displayNum,String sortName,String sortDir) throws ClassNotFoundException, SQLException
MySQL prepare语句的SQL语法
01-19
MySQL prepare语法: PREPARE statement_name FROM preparable_SQL_statement; /*定义*/ EXECUTE statement_name [USING @var_name [, @var_name] …]; /*执行预处理语句*/ {DEALLOCATE | DROP} PREPARE statement_...
MySQL中预处理语句prepare、execute与deallocate的使用教程
01-21
MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【预处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。 示例代码 PREPARE stmt_name FROM preparable_stmt ...
zas:使用其他sql语言(例如,ORACLE的sql)访问MYSQL数据库
01-30
运行稳定结构体 连接字符串处理器:处理数据库连接字符串,包括Oracle TNS和传统DSN格式协议管理( MYSQLC库)提供: MYSQL Client/Server Protocol 完全支持prepare和query模式与libmysqlclient API兼容性SQL语法...
mysql中blob数据处理方式
09-09
Statement prest = conn.prepareStatement(sql); ResultSet rs = prest.executeQuery(sql); ``` 一旦查询执行完毕,我们可以遍历`ResultSet`对象,获取Blob数据。`ResultSet`的`getBlob()`方法用于获取Blob类型的列...
mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9761
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
mysql防止sql注入
得粟
04-05 1769
实现sql注入常见类型: 利用逻辑运算符;利用mysql注释特性,mysql支持 /* 和 # 两种注释格式  %23=='#';(相当于程序后面的SQL语句给注释了) 防止sql注入的几种方法: 使用php处理过滤已知威胁使用接口时之允许已知用户请求使用PDO、mysqli等数据库抽象层
JDBC进阶之PreparedStatement执行SQL语句(MySQL)
10-13 6613
从上一篇文章《JDBC连接MySQL数据库及示例》(前往该文章)的示例中,我们提到,使用Statement来执行SQL语句,例如: Connection connection; Statement statement ; ... ... statement
java中预处理PrepareStatement为什么能起到防止SQL注入的作用??!!
iteye_6274的博客
03-02 511
大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预SQL注入,严格的说,应该是预绝大多数的SQL注入。 用法就是如下边所示: String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try {...
转!! PreparedStatement是如何防止SQL注入
weixin_30437337的博客
01-04 113
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
mysql连接jdbc增删改_JDBC----用JDBC连接Mysql并进行增删改查操作
06-06
pstmt = conn.prepareStatement("INSERT INTO mytable (name, age) VALUES (?, ?)"); pstmt.setString(1, "John"); pstmt.setInt(2, 30); int rows = pstmt.executeUpdate(); System.out.println(rows + " row...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值