java preparestatement sql注入_使用PreparedStatement防止SQL注入

最新推荐文章于 2023-09-15 11:08:19 发布
最新推荐文章于 2023-09-15 11:08:19 发布
阅读量129 收藏
点赞数
文章标签: java preparestatement sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39674978/article/details/114663928
版权

PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.

SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.

对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构绕过验证,但这种手段只对Statement有效,对PreparedStatement无效.

如果有一条SQL语句: "SELECT * FROM test WHERE name = 'admin'

ANDpassword = admin";

Statement的SQL语句是这样写的: ""SELECT * FROM testWHERE name = '"

+ name + "' AND password ='" +

password + "'";

PreparedStatement的SQL语句是这样写的: "SELECT * FROM test WHERE name = ? and password

= ?"; 然后对应?赋值

这样我们就发现输入用户名:'or'1=1'#,密码随意输

Statement是将这个和SQL语句做字符串连接到一起执行,变成了SELECT * FROM admin WHERE `name` = ''OR'1=1'# AND

`password` ='admin',而#后面的在MySQL中会被当做注释,所以这句话就是SELECT * FROM admin WHERE `name` =

''OR'1=1',永远都能登陆成功。

PreparedStatement是将'or'1=1'# 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.

实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.

两个源代码:

运行时需建立名字为test1的数据库,里面有名字为test的表,表里面有name,password列,值分别为admin,admin。

一:Statement的SQL注入:

import

java.sql.Connection;

import

java.sql.DriverManager;

import

java.sql.ResultSet;

import

java.sql.Statement;

import

java.util.Scanner;

public class Test

{

publicstatic void main(String[] args) throws Exception {

Scannerinput = new Scanner(System.in);

Class.forName("com.mysql.jdbc.Driver");

Connectionconn = DriverManager.getConnection(

"jdbc:mysql://localhost:3306/test1","root", "root");

System.out.println("请输入用户名:");

Stringname = input.next();

//用户名:'or'1=1'#密码:随意

System.out.println("请输入密码:");

Stringpassword = input.next();

Statementstat = conn.createStatement();

Stringsql = "SELECT * FROM test WHERE name = '" + name

+ "' ANDpassword = '" + password + "'";

ResultSetrs = stat.executeQuery(sql);

if(rs.next()) {

System.out.println("登陆成功!");

}else {

System.out.println("登录失败!");

}

rs.close();

stat.close();

conn.close();

}

}

二:PreparedStatement的防SQL注入

import

java.sql.Connection;

import

java.sql.DriverManager;

import

java.sql.PreparedStatement;

import

java.sql.ResultSet;

import

java.util.Scanner;

public

class Test1 {

public static void main(String[] args) throws Exception

{

Scanner input = new Scanner(System.in);

Class.forName("com.mysql.jdbc.Driver");

Connection conn = DriverManager.getConnection(

"jdbc:mysql://localhost:3306/test1", "root",

"root");

System.out.println("请输入用户名:");

String name = input.next();

System.out.println("请输入密码:");

String password = input.next();

String sql = "SELECT

*FROM test WHERE name = ? and password = ?";

PreparedStatement stat = conn.prepareStatement(sql);

stat.setString(1, name);

stat.setString(2, password);

ResultSet rs = stat.executeQuery();

if (rs.next()) {

System.out.println("登陆成功!");

} else

{

System.out.println("登录失败!");

}

rs.close();

stat.close();

conn.close();

}

}

weixin_39674978
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1031
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2517
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
【运维】PreparedStatement防止SQL注入
最新发布
weixin_37543485的博客
09-15 390
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1535
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
java preparestatement sql注入_浅析Statement和PreparedStatementSQL注入
weixin_30950075的博客
03-06 2603
一、SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。上述语句摘自百度百科,可能对于有些人来说晦涩难懂,那么我举个最简单的例子,来体验这一过程;假设有一个登录表单,后台数据校验sql为select * from user where username = 'XXX' and password = 'XXX',...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
ObjectOrientedSQL:尝试使用Java进行面向对象SQL包装
05-26
因此,而不是: try{ PreparedStatement statement = connection.prepareStatement("SELECT * FROM `table_name`"); ResultSet set = statement.executeQuery(); // This is what we want}catch(Exception e) { /* ...
使用PreparedStatement访问数据库
12-14
java.sql.PreparedStatement接口。PrepareStatement接口继承Statement接口。  PrepatredStatement实例包含已编译的SQL语句,由于PreparedStatement对象已预编译过哦哦,所以执行速度快于Statement对象。  包含于...
Java使用表格显示查询结果.rar
07-10
  PreparedStatement ps=con.prepareStatement(sqlStr); //获取PreparedStatement对象   ResultSet rs=ps.executeQuery(); //执行查询   String name,sex,email; //查询结果   int age;   int count=0;  ...
java使用jdbc插入信息时获取id1
08-08
// 设置成可以获取主键 preparedStatement = connection.prepareStatement(sql, Statement.RE
mybatis ORA-00903: 表名无效 以及 javaPreparedStatement和Statement详细讲解
红袖添香的博客
07-09 2156
mybatis ORA-00903: 表名无效 <select id= "queryTable" resultMap="map> select * from #{tableName} </select> ### SQL: select * from ? ### Cause: java.sql.SQLException: ORA-00903: 表名无效 发现有问题,实际上#{}方式通过?形式进行传递参数的,?它不支持tableName 将#{}换成${} <...
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 771
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
java操作sql server数据中,关于PreparedStatement数据注入问题
qq_28088659的博客
12-03 565
问题描述: 在Java操作SQL Server数据库时,会使用PreparedStatement数据注入方式避免“万能密码”的产生以及提高代码执行效率。例如经常使用如下方式: requery("select * from stu where name = ? and address = ?", new String[]{ "liu", "wo"}); 或 requery("sel
在JDBC中使用preparedStatement防止SQL注入
龟的小号的博客
02-17 5368
文章目录一、SQL注入二、SQL注入实例登录场景:情形1:(免账号登录)情形2:(删除数据库)三、防止SQL注入方法四、登录项目1、用户表2、项目结构3、登录实现4、登录测试 一、SQL注入 SQL注入是一种比较常见的网路攻击方式,一些恶意人员在需要用户输入的地方,恶意输入SQL语句的片段,通过SQL语句,实现无账号登录,甚至篡改数据库。 二、SQL注入实例 登录场景: 在一个登录界面,要求用户输...
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1447
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
preparedStatement = (PreparedStatement)connection.prepareStatement(sql); 出现空指针报错
sdududu的博客
07-05 4000
在刚上手写JDBC时,总是出现很多错误 下面是我的源代码: 在UserDAO.java中 在点击登录的时候,给我出现了空指针的报错 我搜了百度,有好多种方法,我都尝试了一下。 有一种方法对我很有用,就是在Tomcat的lib下,加入你的jar包 虽然,我之前有在项目的lib下加入jar包,但是感觉Tomcat发现不到。我是新手,我也不知道为什么,大家可以尝试一下这个方法 ...
Statement stat = conn.createStatement(); PreparedStatement prep = conn.prepareStatement
autumn20080101的专栏
10-31 4213
import java.sql.*; public class Test { public static void main(String[] args) throws Exception { Class.forName("org.sqlite.JDBC"); Connection conn = DriverManager.getConnection("jdbc:sq
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
热门推荐
XRN的博客
05-20 2万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
PreparedStatement接口,prepareStatement方法
he_hchx的专栏
04-26 8420
1、public interface PreparedStatementextends Statement表示预编译的 SQL 语句的对象。 SQL 语句被预编译并且存储在 PreparedStatement 对象中。然后可以使用此对象高效地多次执行该语句。 注:用来设置 IN 参数值的 setter 方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类型兼
preparestatement sql注入
03-16
好的,以下是使用PreparedStatement进行SQL输入的示例代码: ...需要注意的是,使用`PreparedStatement`可以有效地防止SQL注入攻击,因为占位符的值会被自动转义,避免恶意输入对数据库造成危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值