java sql注入,在java中避免SQL注入

最新推荐文章于 2024-04-17 03:27:57 发布
最新推荐文章于 2024-04-17 03:27:57 发布
阅读量278 收藏
点赞数
文章标签: java sql注入

I am new to JavaEE and trying to learn to make a simple login page by checking the database. Here is the code sample:

ResultSet result=null;

Statement s = (Statement) con.createStatement();

result=s.executeQuery("select username from Table where ID="+id and " password="+password);

It should be vulnerable to SQL injection right? I would do this by using parametrized query in ASP.NET like the following:

SqlConnection con = new SqlConnection();

SqlCommand cmd=new SqlCommand("select username from Table where ID=@id and password=@password",con);

cmd.Parameters.AddWithValue("@id", id);

cmd.Parameters.AddWithValue("@password", password);

Is there any way to use parametrized queries in java like this? Can anyone use that query in parametrized form to avoid SQL injection?

Thanks

解决方案

Yes you can do this with PreparedStatement; for example:

PreparedStatement preparedStatement = con.PreparedStatement(

"SELECT * FROM MY_TABLE WHERE condition1 = ? AND condition2 = ?");

preparedStatement.setString(1,condition1_value);

preparedStatement.setString(2,condition2_value);

ResultSet rs = preparedStatement.executeQuery();

weixin_39795325
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
preparedstatement对象的setstring方法_设计模式 —— 模版方法(Template Method)模式...
weixin_39917211的博客
12-16 605
写在前面设计模式贯穿软件开发整个过程,虽然看了很多相关的文章和书籍,但是理解和使用感觉都差点儿意思。所以借再看设计模式——《漫谈设计模式,从面向对象开始》,梳理其精髓的设计思想。为什么需要设计模式?变化是永恒的无论你处于多大的团队,团队采用什么样的开发模式,你总是能听到这样的一句话:The Only Thing In The World That Doesn't Change Is C...
防止sql注入 php_PHP-防止SQL注入
cunchi8090的博客
07-19 297
防止sql注入 php SQL injection vulnerabilities have been described as one of the most serious threats for Web applications. Web applications that are vulnerable to SQL injection may all...
java开发api接口教程,SQL注入问题简介
最新发布
2401_83817392的博客
04-17 835
总体来说,如果你想转行从事程序员的工作,Java开发一定可以作为你的第一选择。但是不管你选择什么编程语言,提升自己的硬件实力才是拿高薪的唯一手段。如果你以这份学习路线来学习,你会有一个比较系统化的知识网络,也不至于把知识学习得很零散。我个人是完全不建议刚开始就看《Java编程思想》、《Java核心技术》这些书籍,看完你肯定会放弃学习。建议可以看一些视频来学习,当自己能上手再买这些书看又是非常有收获的事了。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
sql注入新手_sql注入新手指南
weixin_26747751的博客
09-11 299
sql注入新手SQL injection is a web security vulnerability that allows an attacker to alter the SQL queries made to the database. This can be used to retrieve some sensitive information, like database struc...
利用SQL注入漏洞
weixin_26722031的博客
07-31 1337
SQL Injection is a sort of infusion assault that makes it conceivable to execute malicious SQL statements. These statements control a database server behind a web application. Assailants can utilize S...
sql注入Java过滤器
11-10
配置在web.xml,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
避免sql注入_动力节点Java学院整理
08-29
主要介绍了避免sql注入,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java开发基于SQLmap的SQL注入工具源码.zip
06-01
基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx) 安装Python 安装SQLmap 基于SQLmap的SQL注入工具源码.。基于SQLmap,使用Java开发 安装教程 安装JDK(需要有javafx)...
JavaSQL注入的防范与解决方法
02-18
JavaSQL注入的防范与解决方法
Java面试题解析之判断以及防止SQL注入
08-28
主要介绍了Java面试题解析之判断以及防止SQL注入,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下
对Oracle开发者的SQL Injection攻击介绍
Y1ch0的专栏
12-01 1923
An Introduction to SQL Injection Attacks for Oracle Developers January 2004 Table of Contents 1. Introduction Summary SQL Injection Overview SQL Injection: Oracle versus Other Databases Applicatio
Java代码审计篇:SQL注入
hackzkaq的博客
12-01 1186
前期与常规注入代码审计一样,找sql语句看是否存在字符串拼接,如果存在,通过查找参数的调用逻辑,理清逻辑,在构造payload时,先注册一个正常的用户名,但是用户名是带有sql语句的,比如 “ ‘union select user(),2.3# “,此时在登陆的时候就可以显示对应的信息。MyBatis 的 like 子句使用#{}程序会报错,所以为了避免报错,在开发的时候使用${},当使用like ‘#%{name}%’时,会报错。而使用like ‘$%{name}%’,时会正常执行。
JDBC - java语言连接数据库、完成增删改查、解决SQL注入问题(详细)
weixin_51351637的博客
05-11 1258
一、基本介绍 从本质上来说,JDBC本质是SUN公司制定的一套接口(接口都有调用者和实现者) JDBC 接口一套interface可以在API帮助文档下 java.sql找到 1.为什么面向接口编程? 解耦合:降低程序的耦合度,提高程序的扩展力。 (多态机制是非常典型的面向抽象编程) 2、JDBC编程六部概述 背过!!!!!!!!!!!!!!!!! (1)注册驱动(告诉java程序,告诉java程序即将要连接的是哪个品牌的数据库) 例子: 方法1: //..
sonarQube扫描bug、漏洞处理汇总
热门推荐
liu_xue_xue的专栏
05-21 3万+
目录 Bugs 漏洞 Bugs Use an "instanceof" comparison instead. Cast one of the operands of this integer division to a "double" Remove this throw statement from this finally block. 漏洞
PreparedStatement是如何防止SQL注入的?
weixin_30920597的博客
09-26 460
为什么在JavaPreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。 首先我们来看下直观的现象(注:需要提前打开mysqlSQL文日志) 1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL) String param = "'test' or 1=1"; ...
SQL注入及防止--传入非法参数 IDEA+JAVA
qq_63321473的博客
08-15 1601
SQL注入即是指 web应用程序数据库层的安全漏洞,因为没有对用户输入数据的合法性没有判断或过滤,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的 SQL语句 ,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。...
java开发推荐的防御sql注入方法_java项目如何防止sql注入
weixin_30139213的博客
01-13 517
简介SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令;实践项目如何防止sql注入呢,有以下三点:前端表单进行参数格式控制;后台进行参数格式化,过滤所有涉及sql的非法字符;//参考:https://freeman983.iteye.com/blog/1153989//过滤 '//ORACLE 注解 -...
Java防止SQL注入的几个途径
零壹
12-17 5973
JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部分的SQL注入已经挡住了,在WEB层我们可以过滤用户的输入来防止SQL注入
java字符串转义避免sql注入
03-08
在预编译语句,将 SQL 语句和参数分开,参数使用占位符代替,然后将参数传递给预编译语句,这样可以避免 SQL 注入。在使用转义字符时,将特殊字符转义为普通字符,例如将单引号转义为两个单引号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值