JDBC防止SQL攻击之PreparedStatement的用法

最新推荐文章于 2023-02-12 22:52:34 发布
最新推荐文章于 2023-02-12 22:52:34 发布
阅读量202 收藏
点赞数
分类专栏: Java JavaWeb 数据库 JavaEE MySQL 文章标签: JDBC Java JavaWeb JaveEE SQL攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40584771/article/details/83419515
版权
JavaWeb 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
JavaEE
7 篇文章 0 订阅
订阅专栏
Java
6 篇文章 0 订阅
订阅专栏

public boolean login(String username, String passwo)

throws Exception {

/*

* 一、得到Connection 二、得到Statement 三、得到ResuleSet 四、rs.next()返回的是什么,就返回什么

*/

// 准备四大参数

String driverClassName = "com.mysql.jdbc.Driver";

String url = "jdbc:mysql://localhost:3306/mydb3";

String mysqlUsername = "root";

String mysqlPassword = "12345678";

// 加载驱动类

Class.forName(driverClassName);

// 得到Connection

Connection con = DriverManager.getConnection(url, mysqlUsername,

mysqlPassword);

/*

* 一、得到preparedStatement 1.给出sql模版:所有的参数使用?代替

* 2.调用Connection方法,得到PreparedStatement

*/

String sql = "select * from t_user where username=? and password=?";

PreparedStatement pstmt = con.prepareStatement(sql);

/*

* 二、为参数赋值

*/

pstmt.setString(1, username);// 给第1个问号赋值,值为username

pstmt.setString(2, passwo);// 给第二个问号赋值,值为password

ResultSet rs = pstmt.executeQuery();// 调用查询方法,向数据库发送查询语句

return rs.next();

}

程序员的格子衫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
P6SPY JDBC拦截打印sql语句 非常好的调试工具
12-16
P6spy是一个JDBC Driver的包装工具,p6spy通过对JDBC Driver的封装以达到对SQL语句的监听和分析,以达到各种目的。 p6spy的安装步骤: 1. 下载p6spy的安装包 2. 把p6spy的jar包放到Classpath中,如果是WEB App放在WEB APP/WEB-INF/lib目录下 3. 把p6spy的Driver Class name替换原来的JDBC Driver Class Name, url, username, password一切都不变。  -- 由于每个应用的数据库连接配置,可能不一样,有些是Hibernate, OJB, Spring或者其它。。。。请按照相应的配置文件修改即可。  -- dbcp还要再试试,才知道是否支持,理论是支持的。   4. 编辑spy.properties文件,把JDBC Driver Class Name作为RealDriverName的值,其它的属性一般不用指定. 5. 把spy.properties放到合适的目录下,一定要让App能够找着,如果是webapp就放在webapp/WEB-INF/classess/目录下。 6. 启动应用,看看spy.log是否生成出来了? 更多说明可以去我博客查看:http://jifeng.cnblogs.com
JDBC如何有效防止SQL注入?
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
java sql注入防止_java - PreparedStatement如何避免或阻止SQL注入?
weixin_35346265的博客
02-20 192
要了解PreparedStatement如何阻止SQL注入,我们需要了解SQL Query执行的各个阶段。1.编译阶段。2.执行阶段。每当SQL Server引擎收到一个查询时,它必须通过以下阶段,解析和规范化阶段:在此阶段,将检查Query的语法和语义。 它检查是否引用表和查询中使用的列是否存在。它还有许多其他任务要做,但我们不详细说明。编译阶段:在此阶段,查询中使用的关键字如select,fr...
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
使用preparedStatement防止sql攻击
YangKK_
06-17 276
preparedStatement的介绍 preparedstatementstatement的子接口 prepared的优点 防止sql攻击 提高代码的可读性和可维护性 提高效率 什么是sql攻击 例如:用户在登录的时候输入的账号和密码都是sql语句的片段。 preparedStatement实现防止sql攻击的代码实现 package cn.itcast.demo3; import ...
java拦截jdbc执行sql
weixin_42581846的博客
02-12 758
Java 可以通过实现 JDBC拦截机制来拦截 JDBCSQL 执行。这可以通过创建自定义的 JDBC 驱动来实现,该驱动将作为代理驱动存在,并在真正执行 SQL 命令之前拦截执行。 具体来说,可以通过实现 java.sql.Connection、java.sql.Statementjava.sql.PreparedStatement 接口来实现自定义 JDBC 驱动。在创建这些对...
sqljdbc4-3.0.jar
12-22
1. "sqljdbc4-3.0.jar" - 这就是主文件,包含了实现JDBC接口的类和方法,供Java应用程序使用。 2. "游戏爱好者.png" - 这可能是一个无关的图像文件,可能是用户误放或者为了其他目的添加的。 3. "关于游戏爱好者.txt...
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
2. **防止SQL注入**:PreparedStatement通过设置参数的方式执行SQL,可以有效地防止SQL注入攻击。因为参数是作为占位符处理,而不是直接拼接到SQL字符串中,从而避免了恶意用户输入可能导致的语法错误或安全风险。 ...
JAVA使用JDBC技术操作SqlServer数据库实例代码
08-31
本文将深入讲解如何使用JDBCJava中与SQL Server数据库进行交互,通过实例代码来演示数据的增删改查操作。 首先,理解JDBC的核心概念: 1. JDBC API:一组Java类和接口,定义了Java应用程序如何与数据库进行通信。...
sqljdbc.sqljdbc4.rar
04-22
sqljdbc4.jar”特别之处在于它支持Java SE 6的特定特性,比如Java Persistence API (JPA) 和 Java Database Connectivity (JDBC) 4.0规范,这使得开发者可以利用更多的高级功能,如自动关闭资源、更好的事务管理等...
JDBC和MyBatis防止SQL注入攻击的原理
Syntactic Sugar
01-26 306
文章目录JDBCMyBatis JDBC 使用Statement执行查询语句的时候 : 比如要执行用户名 密码登录验证的sql语句 经常要输入 String sql = " select * from login where name=’ " +name+ " ’ and pwd = ’ " +pwd+ " ’ "; 这时候如果用户输入的密码是 ’ or ‘1’ = '1 这时候 整条输出语句可以拼装为 select * from login where name=‘xx’ and pwd =’
MyBatis源码学习三——StatementHandler与拦截器原理
yx444535180的专栏
03-31 2889
文章目录一、StatementHandler1.1 RoutingStatementHandler1.2 PreparedStatementHandler二、拦截器2.1 InterceptorChain2.2 Intercepts注解三、PaginationInterceptor 一、StatementHandler 执行器Executer与缓存 上篇讲到一级缓存在BaseExecuter的queryFromDatabase()方法,当没有命中缓存时,从数据库中查询 doQuery(ms, parame
java拦截器实现防止SQL注入与xss攻击拦截
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
java实现mysql拦截_java分页拦截类实现sql自动分页
weixin_36438511的博客
02-03 235
本文实例为大家分享了完整的java分页拦截类,供大家参考,具体内容如下package com.opms.interceptor;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.util.Pro...
Mybatis 源码学习(11)-日志模块
teaandnoodle的专栏
12-05 270
历史文章: Mybatis 源码学习(10)-类型转换(TypeAliasRegistry) Java 开发中常用的日志工具类包括Log4J、Log4J2、Apache Common Log、java.util.logging、Slf4j,这些工具的接口并不统一,为了提供统一的接口,Mybatis 对这些日志接口做了统一适配。 Mybatis 的日志模块使用了适配器模式,其内部提供了统一的适配器...
JDBCTemplate
wwwwwwzl的博客
03-22 836
文章来源:https://blog.csdn.net/h294590501/article/details/80428192 JDBCTemplate ...
JdbcTemplate几种巧妙使用
春风化雨
06-11 8345
前言: JDBC,已满足最基本的数据库操作需求;但是,在使用JDBC时,必须手动管理数据库资源,比如:获取PreparedStatement,设置SQL语句参数,关闭连接等步骤。 JdbcTemplate,它是Spring对JDBC的封装,旨在使JDBC更加易于使用。并且JdbcTemplate处理了资源的建立和释放。 ① 避免常见错误,...
自定义Druid的拦截
chuandie7960的博客
02-05 1415
Druid是一个JDBC组件,它包括三部分: DruidDriver 代理Driver,能够提供基于Filter-Chain模式的插件体系。 DruidDataSource 高效可管理的数据库连接池。 SQLParser Druid可以做什么? 1) 可以...
SQL注入以及使用PreparedStatement解决SQL注入
weixin_44250483的博客
04-15 621
SQL注入 SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。 使用PreparedStatement防止SQL注入 在SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值 PreparedStatement会把所有用来替换占位符的都当成字符串处理 package com.jing.jdbc; import com.jing.utils.JDBCUtils; import
jdbc执行多条sql查询语句 PreparedStatement
最新发布
08-31
### 回答1: 在 JDBC 中,可以使用 PreparedStatement 对象同时执行多条 SQL 查询语句。具体步骤如下: 1. 创建 PreparedStatement 对象。 2. 编写多条 SQL 查询语句,每条语句用分号(;)隔开,并将它们组合成一个字符串。 3. 使用 PreparedStatement 对象的 execute() 或 executeQuery() 方法执行查询语句。 4. 处理查询结果。 下面是一个示例代码: ```java // 假设我们要查询两个表的数据 String sql = "SELECT * FROM table1; SELECT * FROM table2;"; PreparedStatement ps = conn.prepareStatement(sql); boolean hasResult = ps.execute(); while (hasResult) { ResultSet rs = ps.getResultSet(); // 处理查询结果 while (rs.next()) { // 处理每一条记录 } hasResult = ps.getMoreResults(); } ``` 在上面的代码中,我们首先创建了一个 PreparedStatement 对象 ps,然后将两条 SQL 查询语句组合成一个字符串并赋值给 sql 变量。接着,我们使用 ps.execute() 方法执行查询语句,该方法返回一个 boolean 值,指示查询语句是否有结果集。如果有结果集,则使用 ps.getResultSet() 方法获取结果集,并使用 ResultSet 对象处理查询结果。最后,使用 ps.getMoreResults() 方法判断是否还有下一条查询语句,如果有,则继续处理下一条语句的结果集。 ### 回答2: JDBC的PreparedStatement是一种用于执行多条SQL查询语句的机制。它允许我们预先定义SQL语句并在执行时提供参数值。 使用PreparedStatement可以避免SQL注入攻击,并且可以提高性能。 首先,我们需要创建一个PreparedStatement对象。这可以通过Connection对象的prepareStatement方法来完成。例如: PreparedStatement statement = connection.prepareStatement("SELECT * FROM students WHERE age > ?"); 在这个例子中,我们创建了一个PreparedStatement对象来执行查询年龄大于指定值的学生的SQL语句。 接下来,我们可以使用setXXX方法来设置参数值。XXX代表参数的数据类型。例如,如果我们要设置age参数的值为18,可以使用: statement.setInt(1, 18); 注意,参数的索引是从1开始的。 然后,我们可以使用executeQuery方法来执行查询语句,并获取结果集: ResultSet resultSet = statement.executeQuery(); 最后,我们可以使用ResultSet对象来遍历查询结果并进行相应的操作。例如: while (resultSet.next()) { String name = resultSet.getString("name"); int age = resultSet.getInt("age"); // 进行操作 } 最后,我们需要关闭PreparedStatement对象和相关资源: resultSet.close(); statement.close(); 使用PreparedStatement可以有效地执行多条SQL查询语句,并且保护我们的应用程序免受SQL注入攻击。 ### 回答3: JDBCJava数据库连接的标准API,用于连接和操作关系型数据库。在JDBC中,我们可以使用PreparedStatement来执行多条SQL查询语句。 PreparedStatement是一种预编译的语句,它可以在执行之前进行编译和参数绑定,避免了SQL注入的风险,并且提高了数据库操作的性能。 首先,我们需要获取一个PreparedStatement对象,可以通过Connection的prepareStatement方法来创建。例如: ``` String sql = "SELECT * FROM table_name WHERE column_name = ?"; PreparedStatement statement = connection.prepareStatement(sql); ``` 在创建PreparedStatement对象之后,我们可以使用setXxx方法来设置参数,该方法的参数为SQL语句中的占位符的索引和对应的值。例如: ``` statement.setInt(1, 123); ``` 在设置完参数之后,我们可以使用executeQuery方法来执行查询语句,并获取结果集。例如: ``` ResultSet resultSet = statement.executeQuery(); ``` 对于多条SQL查询语句,我们可以简单地使用多个PreparedStatement对象来执行。例如: ``` String sql1 = "SELECT * FROM table1 WHERE column1 = ?"; PreparedStatement statement1 = connection.prepareStatement(sql1); // 设置参数 ResultSet resultSet1 = statement1.executeQuery(); String sql2 = "SELECT * FROM table2 WHERE column2 = ?"; PreparedStatement statement2 = connection.prepareStatement(sql2); // 设置参数 ResultSet resultSet2 = statement2.executeQuery(); ``` 最后,我们可以通过遍历结果集来获取每一条查询语句的结果,进行进一步的处理和展示。 通过使用PreparedStatement,我们可以方便地执行多条SQL查询语句,并且保证了安全性和性能。希望这个回答能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值