java sql注入_Java开发中容易产生Sql注入的原因以及避免方式

最新推荐文章于 2024-08-01 21:10:16 发布
最新推荐文章于 2024-08-01 21:10:16 发布
阅读量299 收藏
点赞数
文章标签: java sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36474001/article/details/114397415
版权

注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,

动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。

对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构。

如验证用户是否存在的SQL语句为:

用户名'andpswd='密码

如果在用户名字段中输入

或是在密码字段中输入

将绕过验证,但这种手段只对只对Statement有效,对PreparedStatement无效。

相对Statement有以下优点:

防注入攻击

多次运行速度快

防止数据库缓冲区溢出

代码的可读性可维护性好

这四点使得PreparedStatement成为访问数据库的语句对象的首选,缺点是灵活性不够好,有些场合还是必须使用Statement。

网上抄的:

是预编译的,对于批量处理可以大大提高效率。也叫JDBC存储过程

使用Statement对象。在对数据库只执行一次性存取的时侯,用Statement对象进行处理。PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。

每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement是预编译得,preparedstatement支持批处理

′Colombian′

片断2和片断1的区别在于,后者使用了PreparedStatement对象,而前者是普通的Statement对象。PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。

这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需更改其中变量的值,便可重新执行SQL语句。选择PreparedStatement对象与否,在于相同句法的SQL语句是否执行了多次,而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话,它应该和普通的对象毫无差异,体现不出它预编译的优越性。

执行许多SQL语句的JDBC程序产生大量的Statement和PreparedStatement对象。通常认为PreparedStatement对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句,这样在随后的运行中可以节省时间并增加代码的可读性。

然而,在Oracle环境中,开发人员实际上有更大的灵活性。当使用Statement或PreparedStatement对象时,Oracle数据库会缓存SQL语句以便以后使用。在一些情况下,由于驱动器自身需要额外的处理和在Java应用程序和Oracle服务器间增加的网络活动,执行PreparedStatement对象实际上会花更长的时间。

然而,除了缓冲的问题之外,至少还有一个更好的原因使我们在企业应用程序中更喜欢使用PreparedStatement对象,那就是安全性。传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。

当处理公共Web站点上的用户传来的数据的时候,安全性的问题就变得极为重要。传递给PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下,这就意味着当你的程序试着将字符串“D'Angelo”插入到VARCHAR2中时,该语句将不会识别第一个“,”,从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。

在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。

在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。

第一:

会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。

不会初始化,没有预处理,没次都是从0开始执行

第二:

可以替换变量

在SQL语句中可以包含?,可以用

可以把?替换成变量。

而Statement只能用

来实现。

第三:

会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。

不会初始化,没有预处理,没次都是从0开始执行。

南城游子
关注
java sql注入l
10-01
package com.tarena.dingdang.filter; 02 03 import java.io.IOException; 04 import java.util.Enumeration; 05 06 import javax.servlet.Filter; 07 import javax.servlet.FilterChain; 08 import javax.servlet.FilterConfig; 09 import javax.servlet.ServletException; 10 import javax.servlet.ServletRequest; 11 import javax.servlet.ServletResponse; 12 import javax.servlet.http.HttpServletRequest; 13 14 public class AntiSqlInjectionfilter implements Filter { 15 16 public void destroy() { 17 // TODO Auto-generated method stub 18 } 19 20 public void init(FilterConfig arg0) throws ServletException { 21 // TODO Auto-generated method stub 22 } 23 24 public void doFilter(ServletRequest args0, ServletResponse args1, 25 FilterChain chain) throws IOException, ServletException { 26 HttpServletRequest req=(HttpServletRequest)args0; 27 HttpServletRequest res=(HttpServletRequest)args1; 28 //获得所有请求参数名 29 Enumeration params = req.getParameterNames(); 30 String sql = ""; 31 while (params.hasMoreElements()) { 32 //得到参数名 33 String name = params.nextElement().toString(); 34 //System.out.println("name===========================" + name + "--"); 35 //得到参数对应值 36 String[] value = req.getParameterValues(name); 37 for (int i = 0; i < value.length; i++) { 38 sql = sql + value[i]; 39 } 40 } 41 //System.out.println("============================SQL"+sql); 42 //有sql关键字,跳转到error.html 43 if (sqlValidate(sql)) { 44 throw new IOException("您发送请求的参数含有非法字符"); 45 //String ip = req.getRemoteAddr(); 46 } else { 47 chain.doFilter(args0,args1); 48 } 49 } 50 51 //效验
攻击JavaWeb应用[3]-SQL注入[1]
xiaoshan812613234的专栏
11-14 1813
注:本节重点在于让大家熟悉各种SQL注入JAVA的表现,本想带点ORM框架实例,但是与其几乎无意,最近在学习MongoDb,挺有意思的,后面有机会给大家补充相关。 0x00 JDBC和ORM JDBC: JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问。
java代码审计-SQL的注入
最新发布
s44359487yad的博客
08-01 558
Java里面常见的数据库连接方式有三种,分别是JDBC,Mybatis,和Hibernate。Mybatis: $JDBC连接方式下: +、like、order by。
攻击JavaWeb应用[4]-SQL注入[2]
kendyhj9999的专栏
04-25 1277
攻击JavaWeb应用[4]-SQL注入[2] From:http://drops.wooyun.org/tips/288 4人收藏 收藏 2013/07/18 17:23 | 园长 | 技术分享 | 占个座先 注:这一节主要是介绍Oracle和SQL注入工具相关,本应该是和前面的Mysql一起但是由于章节过长了没法看,所以就分开了。 0x00 Oracl
SQL注入Java
weixin_33958366的博客
10-23 79
前面这篇文章介绍了SQL注入,并且主要就PHP的内容做了实验: http://www.cnblogs.com/charlesblc/p/5987951.html 还有这篇文章对处理方案做了介绍(PreparedStatement in PDO or mysqli) http://www.cnblogs.com/charlesblc/p/5988919.html   那么对于Java是怎样的情况呢?...
Java代码审计之SQL注入
tpaer的博客
12-05 2420
复现了JavaJDBC及Mybatis框架采用预编译和非预编译时可能存在SQL注入的几种情况,并给予修复建议。
避免sql注入_动力节点Java学院整理
08-29
最后,在Java Web应用程序,可以采用预编译语句集来解决SQL注入问题。预编译语句集内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用预编译语句集可以提高代码的可读性和可维护性,提高性能,极大地...
java+sql.rar_SQL java_java s_java sql_java sql 简单_java.sql.
09-20
本文将深入探讨如何使用Java和SQL进行数据库操作,以及JDBC编程技术。 首先,SQL(Structured Query Language)是用于管理关系数据库的标准语言,包括创建、查询、更新和删除数据等操作。Java与SQL的结合使得开发者...
st.rar_SQL java_SQL 导入_java sql_java sql 2000_数据库作业
09-21
在本项目,我们主要探讨的是如何使用Java编程语言与SQL Server 2000数据库进行交互,以及如何导入数据库文件。这对于初学者来说是一个很好的实践案例,它可以帮助理解数据库操作的基本概念,以及如何在实际项目...
java开发基于SQLmap的SQL注入工具源码.zip
06-01
基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx)...
Java面试题解析之判断以及防止SQL注入
08-28
Java防止SQL注入是目前软件开发非常重要的一个安全问题,SQL注入攻击是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入,改变SQL语句结构,达到扩展权限、创建高等级用户...
SQL注入过滤 (Java版)
11-17
SQL 安全注入漏洞过滤器类 Java实现 Java类实现,以及配置文件web.xml
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1326
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
java SQL注入
点>>滴>>成>>海
10-11 280
1.用户名随便输入 2.密码:1‘  or '1'='1
JAVA jdbc(数据库连接池)SQL注入
javazaixian的专栏
08-24 905
1.SQL注入的概念…   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储
java--SQL注入攻击
grey_mouse的博客
12-28 423
SQL注入攻击概述 该攻击也就是黑客或居心不良的人知晓了你底层使用拼接的方式连接SQL语句,也就有可能研究出绕过你检查的SQL语句,以下实例说明: 登录操作,检查用户名、密码是否正确 用Statement操作SQL语句 import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; ...
静态代码审计之SQL注入java
一杯咖啡的渗透记忆
03-29 869
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3179
本节讲述JavaWeb代码审计存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互,前端数据通过后台在对数据库进行操作时,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
JAVA代码审计篇-SQL注入
m0_60571990的博客
03-10 1499
JAVA代码审计篇-SQL注入
Java使用PreparedStatement与Filter防止SQL注入
"Java防止SQL注入的几种方法主要集避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值