mysql setstring 注入_JDBC连接MySQL/SQL注入

最新推荐文章于 2023-02-01 17:39:14 发布
最新推荐文章于 2023-02-01 17:39:14 发布
阅读量242 收藏
点赞数
文章标签: mysql setstring 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39615956/article/details/113656232
版权

一、JDBC连接MySQL:

39b276753347fc68ad8e14a63d6a653b.png

1.添加驱动:mysql-connector-java-5.1.47.jar

2.创建连接:

(1)加载驱动:Class.forName("com.mysql.jdbc.Driver");

//jdk1.6以后无需再加载驱动;再引用库META-INF下会自动加载,但是web项目还是要加载;

(2)获取连接对象:DriverManager.getConnection(url, user, password);

3.创建SQL语句:

4.发送sql到数据库;

5.执行sql语句;

6.获取返回的结果:

1)DQL返回查询的结果集;

2)DML返回影响的行数;

3)DDL返回0;

7.处理结果;

8.释放资源:Connection.close();Statement.close();

public classTest {public static void main(String[] args) throwsException {//1、加载驱动//把com.mysql.jdbc.Driver这份字节码加载进JVM//当一份字节码被加载到JVMs时,就会执行该字节码中的静态代码块

Class.forName("com.mysql.jdbc.Driver");//2、创建连接

String url = "jdbc:mysql://localhost:3306/test";

String user= "root";

String password= "000000";

Connection conn=DriverManager.getConnection(url,user,password);//3、创建sql

String sql = "select * from user";

Statement st= conn.createStatement();//4、执行sql

ResultSet resultSet =st.executeQuery(sql);//5、处理返回结果while(resultSet.next()){

System.out.println(resultSet.getString("name"));

}//6、关闭资源

st.close();

conn.close();

}

}

二、JDBC常用类:

资源关闭:ResultSet,Statement,Connection的顺序执行close;

1.DriverManager类:管理一组 JDBC 驱动程序的基本服务;Driver的子类;

方法:static Connection getConnection(String url, String user, String password);//返回Connection接口;

1)String url="jdbc:mysql://localhost:3306/test";

2)String url="jdbc:mysql://localhost:3306/test?useSSL=false&useUnicode=true&setCharacterEncoding=utf8";

//  屏蔽SSL的警告;  解决乱码;

3)String url="jdbc:mysql:///test?useSSL=false&serverTimezone=UTC";//8.0新版本;

2.Connection接口:

方法:

(1)Statement createStatement();//创建一个 Statement 对象来将 SQL 语句发送到数据库。

(2)PreparedStatement prepareStatement(String sql);

//创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。

(3)close();

3.Statement接口:用于执行静态 SQL 语句并返回它所生成结果的对象。

方法:

(1)int executeUpdate(String sql);//执行DDL和DML语句;DML返回影响的行数;DDL返回0;

(2)ResultSet executeQuery(String sql);//执行DQL语句;返回 ResultSet结果集;

(3)close();

4.ResultSet接口:

方法:

(1)boolean next();光标向后移动一行;//类似迭代器的hasnext();

(2)XXX getXXX(int columnIndex);//一般不使用;

//通过字段位置获取值;

(3)void close();

(4)XXX getXXX(String columnLabel);

//通过字段名获取值;

5.PreparedStatement:表示预编译的 SQL 语句的对象。

参数:所有的通过外部传入的参数使用?代替;?--->占位符;

//String sql = "delete from student where sid = ?";

替换占位符方法:void setXXX(int parameterIndex, XXX x);

//int parameterIndex:占位符的下标,下标从1开始;需要和sql中?的顺序一一对应;

//XXX x:替换占位符的具体的数据类型;

方法:

(1)int executeUpdate();//执行DDL和DML语句;DML返回影响的行数;DDL返回0;

(2)ResultSet executeQuery();//执行DQL语句;返回 ResultSet结果集;

//无需传入sql参数,在创建对象时已经传入,并且预编译;

(3)close();

public classTest {public static void main(String[] args) throwsException {//1、加载驱动//把com.mysql.jdbc.Driver这份字节码加载进JVM//当一份字节码被加载到JVMs时,就会执行该字节码中的静态代码块

Class.forName("com.mysql.jdbc.Driver");//2、创建连接

String url = "jdbc:mysql://localhost:3306/test";

String user= "root";

String password= "000000";

Connection conn=DriverManager.getConnection(url, user, password);//3、创建sql

String sql = "select * from user where name = ?";

PreparedStatement prepareStatement=conn.prepareStatement(sql);

prepareStatement.setString(1, "ls");//4、执行sql

ResultSet resultSet =prepareStatement.executeQuery();//5、处理返回结果

while(resultSet.next()) {

System.out.println(resultSet.getString("name"));

}//6、关闭资源

prepareStatement.close();

conn.close();

}

}

三、SQL注入:

1、sql注入:

正常代码:sid:001   ----> delete from student where sid = "001";

问题代码:sid:999 or 1=1   -----> delete from student where sid = "999"or 1=1;

//delete from student;等于删除整表;

解决后代码:sid:999 or 1=1   -----> delete from student where sid = "999 or 1=1";

2、解决办法:PreparedStatement;//Statement的子接口;

weixin_39615956
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Parameter index out of range (1 > number of parameters, which is 0).
A458545418的博客
11-24 2379
数据库错误:Parameter index out of range (1 > number of parameters, which is 0). 错误发生原因其实很简单,就是当设置参数时,没有相应的问号与之匹配(或者根本就没有?号). 如果是:Parameter index out of rang...
JDBC连接MySQL
qq_41214527的博客
07-22 458
JDBC连接MySQLJDBC连接数据库的步骤1.加载数据库驱动//加载驱动Class.forName(driverClass)----------------------------------//加载MySQL驱动Class.forName("com.mysql.jdbc.Driver");//加载Oracle驱动Class.forName("oracle.jdbc.Driver.Ora...
java.sql.SQLException: Parameter index out of range (5 > number of parameters, which is 3).
Too_Soup_Soup的博客
12-16 5077
java.sql.SQLException: Parameter index out of range (5 > number of parameters, which is 3).
mysql setstring 注入,SQL注入案例 - 我是小个子啊的个人空间 - OSCHINA - 文开源技术交流社区...
weixin_30978239的博客
03-17 333
注入案例:publicclassSQL01{publicstaticvoidmain(String[]args)throwsException{Scannersc=newScanner(System.in);System.out.println("请输入用户名");Stringid=sc.nextLine();System.out.println("请输入密码");Str...
SQL注入详解
GuiBing_haonan的博客
11-24 1090
文章目录一:什么是sql注入二:SQL注入攻击的总体思路三:SQL注入攻击实例四:如何防御SQL注入1、检查变量数据类型和格式2、过滤特殊符号3、绑定变量,使用预编译语句五:什么是sql预编译标题1.1:预编译语句是什么1.2:MySQL的预编译功能六:为什么PrepareStatement可以防止sql注入七:mybatis是如何防止SQL注入的mybatis的#和$的区别:mybatis是如何做到防止sql注入的 一:什么是sql注入 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BU
JAVA给SQL语句传参方式
热门推荐
weixin_43155640的博客
12-19 1万+
JAVA给SQL语句传参方式主要有两种: 1.字符串“ ‘"+变量+"’ ”方式(最外边是单引号,里面是双引号) 2.占位符“?”方式 值得注意的是两种传参方式对sql内置函数传参也同样适用 下面给出试例: ResultSet resultset=null; //创建一个PreparedStatement对象 PreparedStatement stmt=null; //1.字符串方式 int i...
JDBC连接MySQL数据库
sbbakin的博客
06-19 1966
JDBC连接MySQL数据库 JDBC概念 Java数据库连接技术(Java Database Connectivity),能实现Java程序对各种数据库的访问。它由一组使用Java语言编写的类和接口(JDBC API)组成,它们位于java.sql以及javax.sql。 而每一种数据库的厂商都有对应该JDBC接口的实现类,生成一个jar包,通过jar包来连接java程序 JDBC访问数据库步骤 1.加载驱动 首先需要将mysql的jar包导入到项目来,与项目关联上。然后通过Class.forNam
根据实体生成sql语句
xkfanhua的博客
05-06 1843
五一前无意间看到了一篇Java反射获取注解的文章,突发奇想,自己也尝试写个根据实体来生成sql语句的短文吧,也算是加深下自己对Java反射知识的理解。 话不多说,因为笔者用多了通用Mapper+MyBaits的敏捷开发。所以自己写的demo或多或少有通用Mapper的一些影子。 整体结构: 启动类: public class Test { public static voi...
使用StringBuilder生成SQL语句
weixin_45915206的博客
11-29 877
调用query这个方法需要 SQLConstant FieldParam FieldOp OrderParam OrderOp 使用方法: // 字段名 String columnStr = "id,name,age"; List<String> columns = Arrays.asList(columnStr.split(",")); FieldParam fieldParam = new FieldParam(); fieldParam.addFieldLike.
Java模拟SQL注入问题及解决方案
毫无感情的吃瓜群众的博客
02-01 677
Java模拟SQL注入问题及解决方案
PreparedStatement setString
qq_39951411的博客
08-12 1166
PreparedStatement setString
JDBC——SQL注入与解决SQL注入的方法
hjk12345678910的博客
04-13 538
SQL注入原理 如下列代码 String sql="select * from t_user where loginName='"+userLoginInfo.get("loginName")+"' and passWord='"+userLoginInfo.get("passWord")+"'"; rs=s.executeQuery(sql); 在接收用户输入用户名和密码时,如果用户输入用户名为qw,密码输入qw’ or ‘1’='1,则执行的sql语句变为 select * from hero w
利用C#的动态类型来实现与rails类似的元编程(2)
AAAA的专栏
12-27 3273
在上一篇的文章,主要介绍了利用CodeDom来动态生成数据库表到实体的映射关系以及利用C#的动态类型来操作实体的属性。这篇主要是实现了实体类的数据库CRUD的操作。 在目前的ORM映射框架,对于操作数据库的最后一个步骤就是动态生成操作数据库的SQL语句,而这无非也就是利用实体属性的自定义映射机制来实现的,或者就是直接把实体类的属性名对应表的字段名,在本示例,就是采用的后者。 
mysql setstring,使用PreparedStatement的setString方法会自动在数据库相应表项后面补空格解决...
weixin_32705179的博客
03-23 913
数据库表的数据项如果设置为char、verchar类型,使用PreparedStatement向表插入字符串数据时,数据会自动在后面添加空格,解决的办法是将数据项类型设置为nverchar。 package Example;import java.sql.*;public class MyIcon{private Connection con;public void getConnection(...
【java】jdbc 连接 mysql 数据库
engineer_hzl
12-02 177
jdbc连接数据库主要有以下几个步骤: 1.加载相应数据库的驱动包(到各数据库官网下载) // 1.加载驱动 try { Class.forName("com.mysql.jdbc.Driver"); } catch (ClassNotFoundException e) { e.printStackTrace(); } 2.获取连接 // 2.获取连接 conn = Dri
JDBC PreparedStatement 的 setString 传值文识别为??
qq_32218473的博客
05-08 3511
解决办法:数据库mather后的?characterEncoding=UTF-8将编码设为utf-8例如:
JDBC PreparedStatement 的 setString 传值文数据库显示为????
qq_40882740的博客
04-19 1809
踩了一下午的坑,,出错的原因很多可能跟我一样吧 建数据库时候已经设置了数据库编码格式为utf8 create table students( )character set utf8 collate utf8_general_ci; 通过表单传值给数据库,但是插入后却全部汉字显示???? 解决方法: 数据库mather后的?characterEncoding=UTF-8将编码设为utf-8 Stri...
mysql preparedstatement insert_mysql数据库__Jdbc直接操作__PreparedStatement__insert
最新发布
06-09
好的,您的问题是关于使用 JDBC 直接操作 MySQL 数据库进行 PreparedStatement 的插入操作。下面是示例代码: ```java import java.sql.Connection; import java.sql.DriverManager; import java.sql....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值