java sql语句防注入,准备好的语句如何防止SQL注入攻击?

最新推荐文章于 2024-06-06 14:27:33 发布
最新推荐文章于 2024-06-06 14:27:33 发布
阅读量243 收藏
点赞数
文章标签: java sql语句防注入

这是用于设置示例的SQL:

CREATE TABLE employee(name varchar, paymentType varchar, amount bigint);

INSERT INTO employee VALUES('Aaron', 'salary', 100);

INSERT INTO employee VALUES('Aaron', 'bonus', 50);

INSERT INTO employee VALUES('Bob', 'salary', 50);

INSERT INTO employee VALUES('Bob', 'bonus', 0);

Inject类很容易受到SQL注入攻击 . 查询与用户输入动态粘贴在一起 . 查询的目的是显示有关Bob的信息 . 基于用户输入的工资或奖金 . 但恶意用户操纵输入会破坏查询,方法是将相应的“或者”添加到where子句,以便返回所有内容,包括有关应该隐藏的Aaron的信息 .

import java.sql.*;

public class Inject {

public static void main(String[] args) throws SQLException {

String url = "jdbc:postgresql://localhost/postgres?user=user&password=pwd";

Connection conn = DriverManager.getConnection(url);

Statement stmt = conn.createStatement();

String sql = "SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType='" + args[0] + "'";

System.out.println(sql);

ResultSet rs = stmt.executeQuery(sql);

while (rs.next()) {

System.out.println(rs.getString("paymentType") + " " + rs.getLong("amount"));

}

}

}

运行此操作,第一种情况是正常使用,第二种情况是恶意注入:

c:\temp>java Inject salary

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType='salary'

salary 50

c:\temp>java Inject "salary' OR 'a'!='b"

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType='salary' OR 'a'!='b'

salary 100

bonus 50

salary 50

bonus 0

您不应该使用用户输入的字符串连接来构建SQL语句 . 它不仅易受注入攻击,而且还会对服务器产生缓存影响(语句更改,因此不太可能获得SQL语句缓存命中,而绑定示例始终运行相同的语句) .

这是绑定的一个例子,以避免这种注入:

import java.sql.*;

public class Bind {

public static void main(String[] args) throws SQLException {

String url = "jdbc:postgresql://localhost/postgres?user=postgres&password=postgres";

Connection conn = DriverManager.getConnection(url);

String sql = "SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType=?";

System.out.println(sql);

PreparedStatement stmt = conn.prepareStatement(sql);

stmt.setString(1, args[0]);

ResultSet rs = stmt.executeQuery();

while (rs.next()) {

System.out.println(rs.getString("paymentType") + " " + rs.getLong("amount"));

}

}

}

使用与上一示例相同的输入运行此操作会显示恶意代码不起作用,因为没有与该字符串匹配的paymentType:

c:\temp>java Bind salary

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType=?

salary 50

c:\temp>java Bind "salary' OR 'a'!='b"

SELECT paymentType, amount FROM employee WHERE name = 'bob' AND paymentType=?

山奈酚
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java防止SQL注入
11-19
java防止SQL注入对一个系统十分的重要,系统没有安全保障,那再好的系统也是扯淡。在平时系统开发中一定注意安全漏洞。
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
java程序防止sql注入的方法
热门推荐
jun0052的专栏
01-25 1万+
12306刚爆出sql注入的漏洞(http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G这个页面,自重输入1'),之前一些关于sql注入的讨论大多数都是php程序的,想跟大家讨论一下java程序防止sql注入应该注意的地方。 第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setStrin
Java 项目防止 SQL 注入的四种方案
最新发布
qq_32885471的博客
06-06 555
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重。
Java防止SQL注入
三千弱水的专栏
09-23 4087
Java防止SQL注入 SQL 注入简介:         SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入:         比如在一个登陆界面,要求用户输入用户名和密码:         用户名:     ' or 1=1
java sql注入
mengyan_czbank的博客
09-16 161
问题描述: 项目开发中遇到的sql注入问题,这里分享一个心得,希望能对您有所帮助; 下面是对于单个字段的sql注入: //这里也可以写成公共方法 //获取被sql注入的字段 String recent = "yes"; //将注入的特殊符替换 recent.replaceAll(".*([';]+|(--)+).*", ""); return ""; 如果我们遇到的是组合条件的查询,这时候分享下面的方法,希望可以帮助到你: 分页查询条件增加Object参数
sql注入及常用护方法
Java 初学者
11-17 919
SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法 用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如: String...
sql 防止注入 java_Java防止 SQL 注入
weixin_42363377的博客
02-20 89
遇到 SQL 直接注入的情况,所以查询了一下解决的办法,在此贴一下代码~~package com.java.util;public class filterSQLInjection {public final static String sqlInjection(String s) {if (s == null || "".equals(s)) {return "";}try {s = s.tri...
JAVA 基础之SQL注入
RAVEEE的博客
07-12 269
  javasql注入漏洞 以及如何范 所谓SQL注入,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力 首先创建一个数据库工具类 package zr; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import...
Java防止SQL注入的方法
qiuyujia
05-04 185
java SQL注入 ,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement 来代替Statement来 执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 , 大部分的SQL注入已经挡住了, 在WEB层我们...
JAVA程序防止SQL注入的方法
Jack Stomtion
01-18 328
第一种采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可: String sql= "select * from users where username=? and password=?; PreparedStatement preState = conn.prepareStatement(sql); preState.setString(1,...
JavaWebSQL注入的方法
08-13
SQL注入漏洞是Web应用经常出现的安全问题,本文提出了在JSP开发中如何SQL注入的方法,以及使用ORM框架HibernateSQL注入的方法。
防止sql注入java代码
08-13
该文档整理了防止sql注入java代码,希望对你能有所帮助!
JAVA实现sql注入点检测
04-24
JAVA实现的网络爬虫以及对爬到的页进行sql注入的判断
java sql注入代码
05-11
很强大的SQL注入,针对JAVA系统 方便使用,作为过滤器使用。
防止sql注入小方法
10-09
应用实例工具:c# 和access演示的。此方法在一定程度上防止sql注入防止'or'='or' 'or''=' 'or ''=' " or "a"="a 此类sql语句在客户端注入
java实战:防止SQL注入常用方法及代码示例
oandy0的博客
02-15 1832
本文将介绍几种在Java防止SQL注入的常用方法,并提供详细的代码示例。我们将探讨使用预编译的SQL语句(Prepared Statements)、使用ORM框架、使用SQL模板引擎和参数化查询等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以SQL注入攻击
关于JavaSQL注入的方法研究
小码农的成长
05-03 2445
一种是对登陆的获得的变量进行特殊字符判断 一种是在登陆的时候使用PreparedStatement进行查询,可以有效的方式SQL注入 在说如何防止之前首先我先说一下造成SQL注入的原因是因为程序员书写的原因  一般来说SQL注入很多时候都是SQL语句拼接造成的。 方法一: //过滤 ‘ //ORACLE 注解 -- /**/ //关键字过滤 update ,dele
JAVAsql注入
liudechaoainia的专栏
10-12 423
package com.baihe.common; /**  * sql注入  * @author 刘德超 2011-08-01  */ public class StringUtil {     public StringUtil() {     }
SQL注入攻击御:实战指南
SQL注入攻击的发生通常是由于Web应用程序没有正确地过滤或转义用户输入的数据,使得恶意的SQL语句能够被数据库执行。攻击者可以通过构造特定的查询字符串,绕过验证机制,执行非授权的操作,例如读取敏感数据、修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值