JDBC--数据库连接、注入攻击与防止攻击

最新推荐文章于 2024-04-28 15:43:23 发布
最新推荐文章于 2024-04-28 15:43:23 发布
阅读量243 收藏
点赞数
分类专栏: Java学习 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43239397/article/details/106300646
版权

数据库的连接与基本操作

public class JDBCDemo {
			public static void main(String[] args)throws ClassNotFoundException,SQLException{
				//1.注册驱动 反射技术,将驱动类加入到内容
				// 使用java.sql.DriverManager类静态方法 registerDriver(Driver driver)
				// Diver是一个接口,参数传递,MySQL驱动程序中的实现类
				//DriverManager.registerDriver(new Driver());
				//驱动类源代码,注册2次驱动程序
				Class.forName("com.mysql.jdbc.Driver");
				
				//2.获得数据库连接  DriverManager类中静态方法
				//static Connection getConnection(String url, String user, String password)  
				//返回值是Connection接口的实现类,在mysql驱动程序
				//url: 数据库地址  jdbc:mysql://连接主机IP:端口号//数据库名字
				String url = "jdbc:mysql://localhost:3296/mybase";
				String username="root";
				String password="123";
				Connection con = DriverManager.getConnection(url, username, password);
				
				//3.获得语句执行平台, 通过数据库连接对象,获取到SQL语句的执行者对象
				// con对象调用方法   Statement createStatement() 获取Statement对象,将SQL语句发送到数据库
				// 返回值是 Statement接口的实现类对象,,在mysql驱动程序
				Statement stat = con.createStatement();
				//	4.执行sql语句
				// 通过执行者对象调用方法执行SQL语句,获取结果
				// int executeUpdate(String sql)  执行数据库中的SQL语句, insert delete update
				// 返回值int,操作成功数据表多少行
				int row = stat.executeUpdate
						("INSERT INTO sort(sname,sprice,sdesc) VALUES('汽车用品',50000,'疯狂涨价')");
				System.out.println(row);
				
				//6.释放资源  一堆close()
				stat.close();
				con.close();
			}
		}

注入攻击

public class JDBCDemo2 {
			public static void main(String[] args)throws Exception {
				Class.forName("com.mysql.jdbc.Driver");
				String url = "jdbc:mysql://localhost:3296/mybase";
				String username = "root";
				String password = "123";
				Connection con = DriverManager.getConnection(url, username, password);
				Statement stat = con.createStatement();
				
				Scanner sc = new Scanner(System.in);
				String user = sc.nextLine();
				String pass = sc.nextLine();
				
		//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
		//		String sql = "SELECT * FROM users WHERE username='dsfsdfd' AND PASSWORD='wrethiyu' OR 1=1";
				String sql = "SELECT * FROM users WHERE username='"+user+"' AND PASSWORD='"+pass+"'";
				System.out.println(sql);
				ResultSet rs = stat.executeQuery(sql);
				while(rs.next()){
					System.out.println(rs.getString("username")+"   "+rs.getString("password"));
				}
				
				rs.close();
				stat.close();
				con.close();
			}
		}

PrepareStatement接口预编译SQL语句

public class JDBCDemo3 {
			public static void main(String[] args)throws Exception {
				Class.forName("com.mysql.jdbc.Driver");
				String url = "jdbc:mysql://localhost:3296/mybase";
				String username = "root";
				String password = "123";
				Connection con = DriverManager.getConnection(url, username, password);
				Scanner sc = new Scanner(System.in);
				String user = sc.nextLine();
				String pass = sc.nextLine();
				
				//执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败
				String sql = "SELECT * FROM users WHERE username=? AND PASSWORD=?";
				//调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类
				//方法中参数,SQL语句中的参数全部采用问号占位符
				PreparedStatement pst =  con.prepareStatement(sql);
				System.out.println(pst);
				//调用pst对象set方法,设置问号占位符上的参数
				pst.setObject(1, user);
				pst.setObject(2, pass);
				
				//调用方法,执行SQL,获取结果集
				ResultSet rs = pst.executeQuery();
				while(rs.next()){
					System.out.println(rs.getString("username")+"   "+rs.getString("password"));
				}
				
				rs.close();
				pst.close();
				con.close();
			}
		}

PrepareStatement接口预编译SQL语句执行修改

public class JDBCDemo {
			public static void main(String[] args) throws Exception{
				Class.forName("com.mysql.jdbc.Driver");
				String url = "jdbc:mysql://localhost:3296/mybase";
				String username="root";
				String password="123";
				Connection con = DriverManager.getConnection(url, username, password);	
				
				//拼写修改的SQL语句,参数采用?占位
				String sql = "UPDATE sort SET sname=?,sprice=? WHERE sid=?";
				//调用数据库连接对象con的方法prepareStatement获取SQL语句的预编译对象
				PreparedStatement pst = con.prepareStatement(sql);
				//调用pst的方法setXXX设置?占位
				pst.setObject(1, "汽车美容");
				pst.setObject(2, 49988);
				pst.setObject(3, 7);
				//调用pst方法执行SQL语句
				pst.executeUpdate();
				
				pst.close();
				con.close();
			}
		}
Coisini-SunShine
关注
专栏目录
数据库连接攻击(类似DDoS)
weixin_34378969的博客
07-03 522
标签 PostgreSQL , authentication_timeout , DDoS , 认证SLOT 背景 客户端请求连接数据库后,会提示客户端输入用户密码,如果客户端不输入密码,那么数据库服务端会在一个超时时间后,断开连接。 也就是说,在服务端主动断开连接前,这个连接实际上需要占用一个SLOT,也就是max_connection中的一个。 ...
jdbc操作mysql数据库(防止注入攻击版本)
qiangzhuangchao4049的博客
04-10 419
package TestJDBC;import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; public class SQLDemo { public sta
JDBC数据库连接池和SQL注入攻击
SwmIsMe的博客
12-14 2095
JDBC数据库连接数据库连接池是管理并发访问数据库连接的理想解决方案.DriverManager管理数据库连接适合单线程情况, 而在多线程并发情况下,为了能够重用数据库连接, 同时控制并发连接总数,保护数据库避免连接过载, 一定要使用数据库连接池.连接池原理:使用DBCP连接数据库连接池的开源实现非常多, DBCP是常用的连接池之一.导入DBCP pom.xml:<dependency> <
JDBC技术详解(二)--sql注入攻击问题
Vinson.Hu
10-27 784
在上篇文章中 《 JDBC技术详解(一)--入门及其API 》,提到的使用statement对象执行字符串拼接的sql会存在注入攻击漏洞。这篇文章,我们来解决这个问题。
jdbc连接警告不安全
weixin_30466421的博客
06-11 161
Mon Jun 11 10:46:26 CST 2018 WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection mus...
java - jdbc-mysql 连接数据库
10-21
- 对于频繁执行的SQL语句,建议使用`PreparedStatement`以提高性能,同时可以防止SQL注入攻击。 - 考虑使用连接池(如C3P0、HikariCP)来管理数据库连接,以优化性能和资源利用。 通过以上介绍,我们了解了如何使用...
PG-java jdbc连接数据库
10-18
它允许预编译SQL语句,提高性能,并防止SQL注入攻击。例如,插入一条记录: ```java String sql = "INSERT INTO mytable (column1, column2) VALUES (?, ?)"; try (PreparedStatement pstmt = conn.prepare...
JDBC-practising-:Java实现访问Oracle数据库
05-16
- 对于经常执行的SQL或需要参数化的SQL,可以使用`PreparedStatement`,它能提高性能并防止SQL注入攻击。预先编译SQL模板,然后用`setXXX()`方法设置参数。 8. **批处理** - 如果需要执行大量相似的SQL语句,可以...
JDBC_MYSQL.rar_JDBC-MYSQL_java jdbc mysql_java sql 简单
09-21
- 使用PreparedStatement可以防止SQL注入攻击,并提高查询效率。 7. **事务管理**: - JDBC提供对数据库事务的支持,通过`Connection`对象的`setAutoCommit(false)`来禁用自动提交,然后手动调用`commit()`或`...
java使用jdbc连接oracle数据库
08-17
在实际开发中,为了提高性能和安全性,通常会采用连接池管理数据库连接,并使用预编译的`PreparedStatement`来防止SQL注入攻击。此外,还要注意处理可能出现的异常,并确保在出现错误时能正确关闭资源。
数据库(DataBase)-SQL注入问题代码举例
EdwinD的博客
05-24 558
SQL注入问题 sql存在漏洞,容易导致数据泄露 本文数据库: CREATE DATABASE JdbcStudy CHARACTER SET utf8 COLLATE utf8_general_ci; USE JdbcStudy; CREATE TABLE `users`( `id` INT PRIMARY KEY, `NAME` VARCHAR(40), `PASSWORD` VARCHAR(40), `email` VARCHAR(60), `birthday` DATE ); INS
字符串注入攻击简介
最新发布
常备不懈
04-28 907
连接字符串注入攻击是一种安全攻击类型,攻击者通过修改应用程序使用的数据库连接字符串注入恶意内容。连接字符串是包含数据库连接所需数据(如服务器地址、数据库名、用户名和密码等)的字符串。在攻击中,如果应用程序未对用户输入进行严格过滤或未正确地处理连接字符串的配置,则攻击者可以通过注入攻击改变数据库的访问逻辑,例如更改数据库服务器地址或携带恶意参数。
3.8 数据库攻击
m0_56534254的博客
10-12 1199
它基于网络服务协议构造攻击数据,覆盖了众多常见的网络服务,也提供了针对MSSQL、MySQL和Oracle等数据库的口令破解功能,其最大的特点是支持协议多,且具备持续破解的功能。这是基于Java开发的Web应用程序集成平台,可通过数据嗅探的方式获取到数据库登录数据报文的格式,并且指定字典或者字符集动态替换其中的账户及口令数据后发送给服务器。攻击者根据实际情况指定账户和口令可能使用的字符集和最大长度,再通过交叉组合的方式,在字符空间内遍历取值,逐一与数据库尝试连接,最终确定正确的账户及口令。
JDBC Connection URL 攻击
HongYu012的博客
02-17 1766
当一个 JDBC 连接 URL 可控时,能造成什么影响?相关的若干攻击方法已经被披露很长时间了,但是我还一直都没有学习,随着 HITB2021SIN 中的分享议题 "Make JDBC Attacks Brilliant Again" 的视频上传到了 Youtube 上之后,我觉得实在是不能再拖了,于是就有了这篇文章,本文记录了相关的学习和研究成果,并集合了相关的漏洞代码。 在看本篇文章时,可以边结合视频,边看 PPT 边看我对其的讲解分析,打开 youtube 的自动字幕和自动翻译,结合本文,对英文..
url存在链接注入漏洞_检测到目标URL存在SQL注入漏洞
weixin_39939661的博客
12-22 1741
解决办法防护建议包括部署分层安全措施(包括在接受用户输入时使用参数化的查询)、确保应用程序仅使用预期的数据、加固数据库服务器防止不恰当的访问数据。建议使用以下措施防范SQL注入漏洞:对于开发========使用以下建议编写不受SQL注入***影响的web应用。参数化查询:SQL注入源于***者控制查询数据以修改查询逻辑,因此防范SQL注入***的最佳方式就是将查询的逻辑与其数据分隔,这可以防止执行...
SpringBoot 如何统计、监控 SQL运行情况?
Java知音
02-17 587
点击关注公众号,实用技术文章及时了解来源:juejin.cn/post/70625069231945810291 基本概念Druid 是Java语言中最好的数据库连接池。虽然 Hikari...
JDBC中SQL注入注入攻击原理
YCixZoem的博客
03-12 966
最近在学jdbc数据库连接 里面讲到sql注入,没明白,后来搜wiki,解释真的是十分清楚。 作用原理[编辑] SQL命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于SubQuery或作为查询、插入、更新、删除……等的条件式)SQL命令对于传入的字符串参数是用单引号字符所包起来。(但连续2个单引号字符,在SQL数据库中,则视为字符串中的一
JDBC入门教程:建立JDBC-ODBC连接Access数据库
在实际的JDBC编程中,我们通常会使用PreparedStatement来代替Statement,因为它更安全,能防止SQL注入攻击,并且允许预编译SQL语句,提高性能。此外,还可以使用CallableStatement来调用存储过程。 对于ODBC数据源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值