java sql注入防止_java - PreparedStatement如何避免或阻止SQL注入?

最新推荐文章于 2023-08-24 23:25:08 发布
最新推荐文章于 2023-08-24 23:25:08 发布
阅读量195 收藏
点赞数
文章标签: java sql注入防止
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35346265/article/details/114420070
版权

要了解PreparedStatement如何阻止SQL注入,我们需要了解SQL Query执行的各个阶段。

1.编译阶段。2.执行阶段。

每当SQL Server引擎收到一个查询时,它必须通过以下阶段,

wiRZS.png

解析和规范化阶段:在此阶段,将检查Query的语法和语义。 它检查是否引用表和查询中使用的列是否存在。它还有许多其他任务要做,但我们不详细说明。

编译阶段:在此阶段,查询中使用的关键字如select,from,where等将转换为格式机器可以理解。这是解释查询并确定要采取的相应动作的阶段。它还有许多其他任务要做,但我们不详细说明。

查询优化计划:  在此阶段,创建决策树以查找可以执行查询的方式。  它找出了执行查询的方式的数量以及与每种方式相关的成本  执行Query。  它选择执行查询的最佳计划。

缓存:在查询优化计划中选择的最佳计划存储在缓存中,以便随后进行时间相同的查询进来,它不必再次通过阶段1,阶段2和阶段3。当下次查询进入时,它将直接在Cache中检查并从那里获取执行。

执行阶段:在此阶段,将执行提供的查询,并将数据作为ResultSet对象返回给用户。

PreparedStatement API在上述步骤中的行为

PreparedStatements不是完整的SQL查询并包含占位符,在运行时由实际用户提供的数据替换。

每当包含占位符的任何PreparedStatment传入SQL Server引擎时,它通过以下阶段

解析和归一化阶段

编译阶段

查询优化计划

缓存(带有占位符的编译查询存储在缓存中。)

UPDATE用户设置用户名=? 和密码=? WHERE id =?

上面的查询将被解析,编译与占位符作为特殊处理,优化和得到缓存。此阶段的查询已经编译并以机器可理解的格式转换。所以我们可以说存储在缓存中的Query是预编译的只有占位符需要替换为用户提供的数据。

现在,在用户提供的数据进入运行时,从Cache中选取预编译查询,并使用用户提供的数据替换占位符。

kWnd1.png

(请记住,在使用者数据替换占位符后,最终查询不会再次编译/解释,SQL Server引擎将用户数据视为纯数据,而不是需要再次解析或编译的SQL; 这就是PreparedStatement的美丽。)

如果查询不必再次经历编译阶段,那么无论什么数据都替换了占位符被视为纯数据,对SQL Server引擎及其直接没有意义执行查询。

注意:解析阶段之后是编译阶段,它理解/解释查询结构,并给它有意义的行为。 在PreparedStatement的情况下,查询是只编译一次,缓存的编译查询一直被取回用户数据并执行。

由于PreparedStatement的一次编译功能,它没有SQL注入攻击。

您可以通过示例获得详细说明:[http://javabypatel.blogspot.in/2015/09/how-prepared-statement-in-java-prevents-sql-injection.html]

制造原理
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- 使用PreparedStatement可以防止SQL注入攻击,并提高查询效率。 7. **事务管理**: - JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`...
使用javassist改写类实现拦截sql语句输出实操
weixin_38526093的博客
05-02 1653
众所周知,javassist能够在字节码层面去重新构建一个已经存在的类,同时结合java虚拟机代理Instrumentation 根据类的字节码重定义类的能力。我们可以去动态改写一个类的方法,这个粒度可以精确到代码行。一般我们重定义类,可能希望增加或者减少字段,增加或者减少方法。但是结合我们常用的hotspot虚拟机具体实现,只对重写方法体逻辑生效,也就是我们只能重构类里面已经存在的方法。虽然虚拟机的实现只能局限于这种程度,但是并不意味着它的用途的狭隘,我们仍然能够利用这种支持做最大化的应用。只重写方法体的
Javaweb入门到实战(三)过滤器、拦截器、jdbc详解
weixin_43912371的博客
05-24 291
9、JavaBean 实体类 JavaBean有特定的写法: 必须要有一个无参构造 属性必须私有化 必须有对应的get/set方法; 一般用来和数据库的字段做映射 ORM ORM:对象关系映射 表–>类 字段–>属性 行记录–>对象 person id name age address 1 空空 24 西安 2 圆圆 14 西安 3 空 100 西安 person实体类 public class person { private char
java实现mysql拦截_在mybatis执行SQL语句之前进行拦击处理实例
weixin_35273106的博客
03-08 998
比较适用于在分页时候进行拦截。对分页的SQL语句通过封装处理,处理成不同的分页sql。实用性比较强。import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.List;import java....
Java操作数据库(二,SQL注入与PreparedStatement
weixin_47514459的博客
12-07 3363
JDBC入门https://blog.csdn.net/weixin_47514459/article/details/121719450 小编相信,通过对上文的阅读,让各位对jdbc(Java对数据库的操作)已经有一定的认识,下面我们就来看看SQL注入的问题与PreparedStatement(对数据库的增删查改)的内容吧! SQL注入 PreparedStatement ...
java拦截执行的sql,写个mybatis的拦截插件,实现将所有执行的sql写入文件里
weixin_35682426的博客
03-12 524
这次项目中要求把所有mybatis所执行的sql都记录到一个文件中,下面是自己写的一个插件(源是参考网上一个重写mybatis分页插件的例子):1.配置插件(在mybatis的配置文件里mybatis.xml配置自己写的这个插件(拦截器)):2.MyBatisSQLInterceptor的内容:package com.zqgame.interceptors;import java.io.File;...
java持久层框架mybatis防止sql注入的方法
09-01
总结来说,MyBatis通过预编译的PreparedStatement有效地防止了大部分SQL注入攻击,但开发者仍需谨慎对待`${}`的使用,并在必要时进行额外的输入验证和过滤,以确保应用的安全性。在编写MyBatis的映射语句时,优先...
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
`Statement`适用于静态SQL语句,而`PreparedStatement`则用于预编译的SQL语句,能防止SQL注入攻击。 4. **数据导入**:描述中提到“先要导入其中的两个数据库文件”,这通常是指`.bak`或`.mdf`等数据库备份或数据...
sql数据库查询_java_java_sqlserver_sql_
10-01
例如,使用PreparedStatement防止SQL注入,通过批处理减少网络通信,合理设计数据库架构以优化查询效率,以及正确设置连接池来管理数据库连接。 在"chapter12"这个文件中,可能包含了更深入的讲解,如高级查询技巧...
Sql注入原理简介_动力节点Java学院整理
09-09
SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面的用户名或密码字段中输入特殊构造的字符串,可能导致原本用于验证身份的SQL...
java.sql.preparedstatement的应用
gyf4817的专栏
03-10 1546
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.pre
java sql 参数_java.sql使用PreparedStatement执行参数化查询
weixin_32512451的博客
02-24 1590
这两周在用java写网站。其实刚开始写只是一两个网页,老板只是让展示一下存储的报告内容,所以我们把xml报告加个xls生成html,直接嵌套进网页就可以,但是随着报告越来越多,要展示的内容从本地一直延伸到深圳上海等地方,所以就开始琢磨着搞数据库。当然知道这玩意有一万个好处,但是能应付就不想大改。小明哥压力越来越大,最终决定:改!于是第一个版本应运而生。但是一直做下来,发现还是用数据库来连接各种内容...
java拦截执行的sql,Mybatis 实现SQL拦截并在控制台打印SQL和参数
weixin_34093753的博客
03-12 834
注:可以拦截sql 执行时间,优化sql。并打印sql 以及参数第一步:创建类:SqlPrintInterceptor 并实现 Interceptor该类如下:package com.ra.common.plugin;import org.apache.ibatis.executor.Executor;import org.apache.ibatis.mapping.BoundSql;import...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2586
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
PreparedStatement是如何避免SQL注入的?
最新发布
ly0712__的博客
08-24 267
preparement避免sql注入
Mybatis拦截器定义
此处省略三千字
03-20 5972
说到拦截器,举个通俗的例子就能理解了:         如果一个人要买票,可以直接自己买票,也可以通过中间代理买票,此时,可以把中间代理比做成一个拦截器,中间代理接受了顾客的委托,然后到火车站买票,买完票要将火车票交给顾客,由顾客拿着火车票去乘车,这是一个常规的流程。        在上述例子中,顾客自己买票属于Mybatis的正常流程;顾客请中间代理买火车票则属于利用拦截器在Mabatis中...
PreparedStatment防止SQL注入原理
qq_45671431的博客
05-06 1151
什么是SQL注入 SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,最终达到欺骗服务器执行恶意的SQL命令进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。 S...
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1190
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
通过PreparedStatement预防SQL注入
jakelihua
11-25 616
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
java sql注入 正则_Java-java程序防止sql注入的方法
05-25
Java程序防止SQL注入的方法有以下几种: 1. PreparedStatement:使用PreparedStatement代替Statement,PreparedStatement使用占位符(?)来表示参数,这样可以有效防止SQL注入攻击。 2. 使用Java的正则表达式对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值