JDBC的SQL注入漏洞的解决

最新推荐文章于 2024-04-21 21:36:18 发布
最新推荐文章于 2024-04-21 21:36:18 发布
阅读量441 收藏 1
点赞数 1
分类专栏: 数据库 文章标签: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42573746/article/details/86082052
版权

PreparedStatement是Statement的子接口,它的实例对象可以通过调用Connection.preparedStatement(sql)方法获得,相对于Statement对象而言:

  • PreparedStatement可以避免SQL注入的问题
  • Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可以对SQL进行预编译,从而提高数据库的执行效率。
  • 并且PreparedStatement对于SQL中的参数,允许使用占位符的形式进行替换,简化SQL语句的编写。
package com.imooc.jdbc.dome1;

import java.sql.ResultSet;

import com.imooc.jdbc.utils.JDBCUtils;
import com.mysql.jdbc.Connection;
import com.mysql.jdbc.PreparedStatement;

public class JDBCDemo4 {

	/**
	 * 避免SQL注入漏洞的方法
	 */
	public static boolean login(String username, String password) {
		Connection conn = null;
		PreparedStatement pstmt = null;
		ResultSet rSet = null;
		boolean flag = false;
		try {
			conn = JDBCUtils.getConnection();
			String sql = "select * from user where username = ? and password = ?";
			//预处理SQL
			pstmt = (PreparedStatement)conn.prepareStatement(sql);
			//设置参数
			pstmt.setString(1, username);
			pstmt.setString(2, password);
			//执行SQL
			rSet = pstmt.executeQuery();
			if(rSet.next()) {
				flag = true;
			}
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			JDBCUtils.release(pstmt, conn, rSet);
		}
		return flag;
	}
}

 

天道酬巧
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入漏洞过程实例及解决方案
12-14
public class JDBCDemo3 { public static void demo3_1(){ boolean flag=login("aaa' OR ' ","1651561"); //若已知用户名,用这种方式便可不用知道密码就可登陆成功 if (flag){ System.out.println("登陆成功");...
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入的问题,  那么,什么是SQL注入,以及如何防止SQL注入的问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
hsqldb 使用简介
jumpjialu的博客
08-04 809
hsqldb 使用简介 hsqldb 是一个非常简单的数据库。在实际开发中,有时开发、测试数据库暂时不可获得,可以使用hsql在本地进行调试。不必等数据库资源而影响开发进度。本文将简单介绍springboot项目使用hsql的步骤。 第一步:下载并解压hsql hsqldb 下载地址:https://sourceforge.net/projects/hsqldb/files/latest/down...
研究JDBC反序列化漏洞复现
hackzkaq的博客
11-22 289
Java数据库连接,(Java Database Connectivity,简称JDBC),它是java程序与数据库交互的一组API,它提供了一种标准的方法,使Java应用程序能够执行SQL查询、更新数据库记录以及检索和更新结果集。这些API组要位于JDK的java.sql包中。JDBC的引入实现了java程序对数据库的便捷访问,通过使用JDBC,可以将sql语句传给任何一种数据库,不必单独写程序访问不同的数据库。这个JDBC的反序列化漏洞感觉和 shiro 有点类似,是一个不错的反序列化点。
SQL注入漏洞详解
最新发布
weixin_44756468的博客
04-21 1121
差异备份数据库得到webshell。在sqlserver里dbo和sa权限都有备份数据库权限,我们可以把数据库备份称asp文件,这样我们就可以通过mssqlserver的备份数据库功能生成一个网页小马。
JDBC SQL注入漏洞
weixin_41796772的博客
03-20 146
JDBC SQL注入漏洞
JDBC连接池和预编译对象处理漏洞
风一般的男子·小亮仔
04-14 626
预编译对象 SQL注入漏洞: 用户输入一些特殊的值,在拼接SQL字符串的时候,导致SQL的语法结构发生变化,从而绕过了SQL的条件。形成的安全问题,叫SQL注入漏洞。 如何避免SQL注入漏洞:使用预编译对象PreparedStatement 如: 1.什么是预编译对象: 预编译对象:java.sql.PreparedStatement,是Statement...
JDBCSQL注入攻击
qq_45061361的博客
06-05 501
SQL注入问题1、SQL注入原理1.1 SQL注入攻击:1.2 SQL注入案例1.3 SQL注入分析2、如何处理SQL注入问题2.1 PreparedStatement预编译的机制2.2 PreparedStatement的优点2.3 PerparedStatement的使用3、SQL注入案例 1、SQL注入原理 1.1 SQL注入攻击: 上一篇文章所使用到的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,
mybatissql_mybatis解决sql注入
12-22
SQL注入是一种常见的安全漏洞,攻击者可以通过恶意输入篡改SQL查询,获取、修改或删除数据库中的敏感数据。MyBatis,作为一个轻量级的Java持久层框架,提供了多种方式来防止这种情况发生。 MyBatis的核心是基于XML...
SQL注入源码+SQL注入命令
07-16
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地处理用户输入数据时,导致攻击者能够构造恶意SQL语句...同时,对于开发人员来说,了解如何测试和修复SQL注入漏洞也至关重要,以确保用户的隐私和数据安全。
SQL注入漏洞检测工具sqlmap用户手册
09-16
SQLmap是应对这种威胁的一款强大的自动化工具,由Python编写,旨在帮助安全专家和渗透测试人员检测和利用SQL注入漏洞。本手册将深入探讨sqlmap的使用方法及其核心功能。 一、SQLmap的安装与配置 SQLmap可在多种操作...
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 525
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入的问题,那么,什么是SQL注入,以及如何防止SQL注入的问题。 一什么是SQL注入 ...
JDBCSQL注入漏洞
m0_47649585的博客
08-10 222
使用PreparedStatement对象代替Statement对象执行SQL,该对象可以预编译SQL语句,固定SQL的格式和关键字,用?占位符表示传递的数据,后期设置数据即可。
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
使用JDBC PreparedStatement 修正【SQL注入问题】---- 附有SQL交互超详细Demo !!
WzXxZw_Bolgs
12-18 164
表示预编译的 SQL 语句的对象 使用PreparedStatement替代Statement的原因 Statement有sql注入问题 PreparedStatement可以通过规范sql解决sql注入问题 设置占位符参数更灵活 文章目录SQL注入问题常用方法demo增删查改data数据的数据库交互图片的数据交互文本的数据交互 SQL注入问题 因为sql的获取是通过字符串拼接的,当追加...
JDBC之数据库连接池和SQL注入攻击
SwmIsMe的博客
12-14 2066
JDBC数据库连接池数据库连接池是管理并发访问数据库连接的理想解决方案.DriverManager管理数据库连接适合单线程情况, 而在多线程并发情况下,为了能够重用数据库连接, 同时控制并发连接总数,保护数据库避免连接过载, 一定要使用数据库连接池.连接池原理:使用DBCP连接池数据库连接池的开源实现非常多, DBCP是常用的连接池之一.导入DBCP pom.xml:<dependency> <
jdbc中的sql注入
a8153285的博客
04-23 241
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
jdbc sql注入
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据中注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值