Java中PreparedStatement执行SQL防止SQL注入实现

最新推荐文章于 2023-09-15 11:08:19 发布
最新推荐文章于 2023-09-15 11:08:19 发布
阅读量256 收藏 1
点赞数
分类专栏: java JDBC Mysql 文章标签: java sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42151066/article/details/129340726
版权
java 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
JDBC
3 篇文章 0 订阅
订阅专栏
Mysql
2 篇文章 0 订阅
订阅专栏

Java中PreparedStatement执行SQL防止注入实现

1、PreparedStatement是什么?

在我们平常使用JDBC的Statement来进行sql连接的时候遇到SQL注入时,就会直接登录成功,例如:
// 接收用户输入 用户名和密码
        String name = "hfkjsfhskj";
        String pwd = "'' or '1' ='1'";
当用户输入为以上并非我们数据库中正确的账号密码时,也会直接登录成功,这就是SQL注入,那么我们要怎么防止SQL注入呢?,这就要用到我们的PreparedStatement了

2、PreparedStatement的使用

2.1 首先我们和之前连接数据库一样先获取连接,接收用户输入的用户名和密码

//2、获取链接
        String url = "jdbc:mysql://127.0.0.1:3306/db1";
        String username = "root";
        String password = "****";
        Connection conn = DriverManager.getConnection(url, username, password);


        // 接收用户输入 用户名和密码
        String name = "zhangsan";
        String pwd = "123";

2.2 在定义SQL语句中与之前有所区别当中的变量我们需要用?进行替代

//定义sql
        String sql = "select * from tb_user where username = ? and password = ?";

2.3 之后就是获取PreparedStatement对象以及给?赋值,并执行SQL语句

//获取pstmt对象
        PreparedStatement pstmt = conn.prepareStatement(sql);

        // 设置?的值
        pstmt.setString(1,name);
        pstmt.setString(2,pwd);
        // 执行sql
        ResultSet rs = pstmt.executeQuery();

2.4 最后我们来看最终的代码

    public void testLogin() throws  Exception{


        //2、获取链接
        String url = "jdbc:mysql://127.0.0.1:3306/db1";
        String username = "root";
        String password = "****";
        Connection conn = DriverManager.getConnection(url, username, password);


        // 接收用户输入 用户名和密码
        String name = "zhangsan";
        String pwd = "123";


        //定义sql
        String sql = "select * from tb_user where username = ? and password = ?";

        //获取pstmt对象
        PreparedStatement pstmt = conn.prepareStatement(sql);

        // 设置?的值
        pstmt.setString(1,name);
        pstmt.setString(2,pwd);

        // 执行sql
        ResultSet rs = pstmt.executeQuery();



        // 判断登录是否成功
        if (rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }


        //7、释放资源
        rs.close();
        pstmt.close();
        conn.close();
    }

经过以上的步骤我们就可以实现利用PreparedStatement执行SQL来防止SQL注入啦。感谢大家看到这里,如果觉得我写得好的话麻烦大家给我一个👍,谢谢大家拉~(^ _ ^)∠※

肝到肝硬化
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
009、PreparedStatement接口---解决SQL注入问题(输入特殊字符能登录)
l0510402015的博客
03-07 768
该对象有Connection对象的方法prepareStatement(String sql) 返回 一、PreparedStatement执行sql的对象 1.SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 1.输入用户随便,输入密码:a' or 'a' = 'a 2.sql:...
Hibernate使用防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
javasql preparedstatement_PreparedStatement是如何防止SQL注入的?
weixin_32323465的博客
02-26 198
为什么在JavaPreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。首先我们来看下直观的现象(注:需要提前打开mysqlSQL文日志)1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)String param = "'test' or 1=1";String sql = "sel...
通过PreparedStatement预防SQL注入
jakelihua
11-25 612
简介:本文只讲PreparedStatement预防SQL注入的写法,大家学会就好。..
Java:PreparedStatement 防止SQL注入
CSDN_chenyang的博客
06-02 311
Statement和PreparedStatement的区别 联系 PreparedStatement继承自Statement,两者都是接口。 Statement 用于执行静态SQL 语句在执行时,必须指定一个事先准备好的SQL语句。 PreparedStatement 是预编译的SQL语句对象,sql语句被预编译并保存在对象。被封装的sql语句代表某一类操作,语句可以包含动态的参数 “ ?”,执行时可以为“ ? ”动态设置参数值。 使用PreparedStatement对象执行sql时,sql语句被数
PreparedStatement是如何防止SQL注入的?
weixin_45778035的博客
12-05 250
PreparedStatement是如何防止SQL注入的?   1 什么是SQL注入Statement statement = connection.createStatement(); String user = "1' OR "; String password = "='1' OR '1' = '1"; //使用StatementSQL语句使用字符串拼接 String sql...
java持久层框架mybatis防止sql注入的方法
09-01
总结来说,MyBatis通过预编译的PreparedStatement有效地防止了大部分SQL注入攻击,但开发者仍需谨慎对待`${}`的使用,并在必要时进行额外的输入验证和过滤,以确保应用的安全性。在编写MyBatis的映射语句时,优先...
mybatis防止SQL注入的方法实例详解
08-27
例如,在 mapper 文件可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件,可以使用预编译语句来避免 SQL 注入攻击: ```java public ...
有效防止SQL注入的5种方法总结
09-09
Java,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为参数处理。这样,即使输入包含恶意SQL片段,也...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
【有料】用java PreparedStatement就不用担心sql注入了吗?
daobuxinzi的博客
10-19 189
注意,JDBC只是java定义的规范,可以理解成接口,每种数据库必须有自己的实现实现之后一般叫做数据库驱动,本文所涉及的PreparedStatement,是由MySQL实现的,并不是JDK实现的默认行为,也就是说,不同的数据库表现不同,不能一概而论。目前做搜索,只要不是太差的公司,一般都有自己的搜索引擎(例如著名的java开源搜索引擎solr),很少有在数据库直接like的,笔者并不是想在like上钻牛角尖,而是提醒读者善于思考,每天都在写着重复的代码,却从来没有停下脚步细细品味。
防止SQL注入的五种方法
weixin_30593261的博客
08-19 59
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现...
JavaSE JDBC防止SQL注入攻击:PreparedStatement
Mr青青子衿
12-09 397
目录Sql注入使用PreparedStatement预编译语句对象解决SQL注入攻击 Sql注入 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 以模拟登录为例:在前台输入用户名和密码,后台判断信息是否正确,并给出前台反馈信息,前台输出反馈信息。 public class TestInjection { private sta
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1553
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
使用preparedStatement防止SQL注入
穹妹纸的博客
05-25 351
先了解什么是SQL注入 在使用statement拼接字符串的时候,有一些SQL的特殊关键字参与字符串的拼接,这就会造成安全性的问题! 例如:sql = "select * from user where username = ’ "+ username + " 'and password = ’ " + password + " ’ "; 上面的这样一条SQL语句,在向里面传递参数时,如果登录者登录下面这样一套用户密码: 用户名:rong(随便写) 密码: a’ or ‘a’ = 'a 依然可以实现用户
JDBC-使用preparedstatement避免sql注入
whatname123的博客
09-07 185
使用preparedstatement代码 package jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Scanner; public class preparedstatement { public
【运维】PreparedStatement防止SQL注入
weixin_37543485的博客
09-15 470
参数化查询是编写安全数据库代码的最佳实践之一。
PreparedStatement防止SQL注入小记
lw18751836671的专栏
04-09 1405
突发奇想想知道为什么preparedstatement.setString()这种设置参数为什么能防止SQL注入,它这么设置后打印出来的SQL语句是什么格式的, select count(*) as total from test0 t  where t.name = '"+username+"'"  这种如果输入  ' or 1=1 -- (PS: --空格, 这里必须要有空格才算注释) 这
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2581
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
JAVA安全编码实践:防止SQL注入
"JAVA安全编码手册讨论了关于Java编程的安全问题,特别是SQL注入,这是一种常见的安全漏洞。" 在Java编程,安全编码是至关重要的,因为它有助于防止恶意攻击者利用代码的漏洞来操纵系统或窃取敏感信息。SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值