导致sql注入的根本原因以及Statement与PreparedStatement的区别

最新推荐文章于 2022-07-14 23:56:41 发布
最新推荐文章于 2022-07-14 23:56:41 发布
阅读量295 收藏
点赞数
分类专栏: 数据库连接 文章标签: java mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43570233/article/details/115728031
版权
本文探讨了SQL注入的定义,演示了如何通过不当输入绕过验证,重点介绍了PreparedStatement在预防注入中的关键作用。讲解了Statement与PreparedStatement的区别,以及何时选择Statement。
摘要由CSDN通过智能技术生成

何为sql注入?

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息

使用JDBC过程中出现SQL注入的问题

输入正确的账号和密码登陆成功

当使用sql注入时,错误的密码也能登陆成功,这就是sql注入
在这里插入图片描述

导致sql注入的根本原因

用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句的编译过程。
导致sql语句的原意被扭曲,进而达到sql注入.

程序内的sql语句

String sql = "select * from t_user
 where username = '"+userLoginInfo.get("loginName")+"' and password = '"+userLoginInfo.get("loginPwd")+"'";

当输入

as’ or ‘1’ = '1
对该程序debug
可以看到该语句为true,系统就认为输入的密码是正确的,sql语句的原意被扭曲,从而达到sql注入

select * from t_user where username = '123' and password = 'as' or '1' = '1'

在这里插入图片描述

解决SQL注入问题:

只要用户提供的信息不参与sql语句的编译过程,问题就解决了
即用户提供的信息中含有sql语句的关键字,但是没有参与编译,不起作用
要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement
PreparedStatemeent接口继承 java.sql.Statement
PreparedStatement是属于预编译的数据库操作对象
PreparedStatement的原理是:预先对SQL语句的框架进行编译,再给SQL语句传“值”

使用Statement获取数据库操作对象

			//获取数据库操作对象
            stmt = conn.createStatement();
            //执行sql语句
            String sql = "select * from t_user where username = '"+userLoginInfo.get("loginName")+"' and password = '"+userLoginInfo.get("loginPwd")+"'";
            rs = stmt.executeQuery(sql);

解决SQL注入的关键:用户提供的 信息中即使含有sql语句的关键字,但是这些关键字并没有参与编译,不起作用

使用PreparedStatement获取预编译的数据库操作对象

 			//获取预编译的数据库操作对象
            //其中一个?,表示一个占位符,一个?将来接收一个“值”,占位符不能使用单括号括起来
            String sql = "select * from t_user where username = ? and password = ?";
            //程序执行到此处,会发送sql语句框子给DBMS,进行对sql语句的预先编译。
            ps = conn.prepareStatement(sql);
            //给占位符?传值,(第1个问号下标是1,第二个问号下标是2.JDBC中所有下标从1开始。)
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);

最后Statement与PreparedStatement区别

Statement存在SQL注入问题,PrepareStatement解决了SQL注入问题
Statement是编译一次执行一次。PreparedStatement是编译一次,可执行N次。PreparedStatement效率更高一些
PreparedStatement会在编译阶段做类型的安全检查

什么情况下必须使用Statement?
业务方面必须支持SQL注入的时候
Statement支持SQL注入,凡是业务方面要求是需要进行sql语句拼接的,必须使用Statement。

振作啊秀一
关注
专栏目录
JDBC:使用Statement操作数据库时产生的SQL注入问题原因分析
weixin_45873215的博客
12-16 608
SQL注入问题简单介绍 1.JDBC中使用Stement对数据库增删改查, 执行sql语句时使用拼接字符串会导致SQL注入 2.JDBC中使用PreaparedStement可以有效避免SQL注入问题 应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。 建表语句(本人使用的数据库mysql数据库) create datebase basketball; use basketball; create table l
JDBC——预编译(PreparedStatemen与Statement)性能比较 及防止sql注入式攻击
yooppa的博客
12-06 2163
写在之前: PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接——这样使得使用起来不是很方便 需要进行分别归类 比如查询 和 插入等等这些操作 因为它是根据sql语句内容来的不是直接拼接进去 以下示例代码具体感受以下: import java.sql.Conne
导致SQL注入的原因是?怎么避免SQL注入
冬雨春雪
05-14 2238
在一个登录页面随意输入一个账号,密码输入如下格式: * 用户名: abc * 密码:abc' or '1'='1 登录成功(若登陆成功则为SQL注入) 以上随意输入一个用户名和密码,登陆成功了,这种现象被称为SQL注入现象! 导致SQL注入的原因是?如何解决? 导致SQL注入根本原因是:用户不是一般的用户,用户是懂的程序的,输入的用户信息以及密码信息 中含有SQL语句的关键字,这个SQL语句的关键字和底层的SQL语句进行“字符创的拼接” 导致原SQL语句的含义被扭曲了,最最最主
PreparedStatementStatement对比、 SQL 注入漏洞原理及实例分析
bzqgo的博客
03-14 337
测试代码import java.sql.*; import org.junit.Test; /** * PreparedStatementStatement对比、 PreparedStatement防止sql语句的注入原理与分析 * * @author baozq * * 2018年3月14日 */ public class SelectInject { //模拟用...
sql注入是什么意思?为什么会造成sql注入的问题?
li752415416qqcom的博客
02-26 8624
SQL注入就是将原本的SQL语句的逻辑结构改变,使得SQL语句的执行结果和原本开发者的意图不一样;使用Statement语句执行者,执行sql,会造成sql注入的问题,String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'"; 如果我们把[' or '1' = '1]作为va
JDBC3——SQL注入、及其解决方法——Statement与PreparedStatement对比——PreparedStatement的CRUD
m0_38057941的博客
10-17 304
1.用户登陆系统演示—StatementSQL注入 1.1.需求: 模拟用户登陆功能的实现 用户名:zhangsan 密码:123 1.2.业务描述: 程序运行的时候,提供一个输入的入口,可以让用户输入用户名、密码 输入后,提交信息,java程序搜集到用户信息 JAVA程序连接数据库验证是否合法 合法:显示登陆成功 非法:显示登陆失败 1.3.本程序存在的问题—— 存在SQL语句注入现象 用户名:a 密码:b’ or ‘1’='1 会登录成功 1.4.导致
Java PreparedStatementStatement区别SQL注入防范
"Java编程语言中的PreparedStatementStatement是两种不同的SQL语句执行方式,它们在处理用户输入数据和防止SQL注入方面存在显著差异。本文将深入探讨这两种接口的特性和应用场景,以及为何PreparedStatement更适合...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement...结论:在 JDBC 应用中,建议使用PreparedStatement对象来代替Statement对象,以提高执行速度、避免SQL注入攻击和提高代码可读性和可维护性。
statement和preparedstatement区别以及sql注入的预防
编程,是个体力活
07-14 1707
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 恶义 SQL 语法 String sql = “select * from tb_name where name= ‘”...
Statement和PreparedStatement区别; 什么是SQL注入,怎么防止SQL注入
weixin_34268310的博客
04-04 225
http://www.cnblogs.com/RunForLove/p/4564224.html SQL注入攻防入门详解 转载于:https://www.cnblogs.com/xtdxs/p/6666010.html
Statement和PreparedStatement区别SQL注入
在途中
07-01 1495
问题一:Statement和PreparedStatement区别  先来说说,什么是java中的StatementStatementjava执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤:  1.首先导入java.sql.*;这个包。  2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。 ...
什么是SQL注入?如何解决SQL注入Statement和PreparedStatement的比较
悬悬小的博客
04-15 268
文章目录前言一、模拟用户登录功能的实现代码1.代码实现2.什么是SQL注入二、解决sql注入1.代码实现2.PreparedStatement3.Statement 和PreparedStatement的比较总结 前言 首先我们通过一个模拟用户登录功能的demo,复习JDBC编程的6个步骤,然后分析当前程序存在的问题,引出SQL注入,并提出解决的办法。 一、模拟用户登录功能的实现代码 1.代码实现 package org.xx.JDBC02; import java.sql.*; import java
sql注入和预防
xuejyjavacsd的博客
02-07 196
SQL Injection: 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 如何防止SQL Inje
关于Statement和PreparedStatement还有SQL注入
努力努力再努力
07-03 203
Statement String passWord="1' OR '1'='1"; String strSQL = "SELECT * FROM users WHERE name = '张三' and pw = '"+ passWord +"'"; 该SQL语句变成 SELECT * FROM users WHERE name = '张三' and pw = '1' OR '1'='1' ...
Statement和PreparedStatementSQL注入问题)
while(true){ study }
07-14 888
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理。Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
PreparedStatementStatement区别,注入风险的解析
weixin_44477677的博客
06-06 311
该 PreparedStatement接口继承Statement 主要区别: 1. PreparedStatement 实例包含已编译的 SQL 语句,是预编译语言。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个...
使用PreparedStatement执行sql语句
QQ1012421396的博客
03-18 6991
使用PreparedStatement执行sql语句 package com.cn.preparedStatement;import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import org.junit.Test;import com.cn.Util.JdbcUtil;
sql注入一注入原理讲解
cuiyaoqiang的博客
06-11 1102
前段时间,在很多博客和微博中暴漏出了12306铁道部网站的一些漏洞,作为这么大的一个项目,要说有漏洞也不是没可能,但其漏洞确是一些菜鸟级程序员才会犯的错误。其实sql注入漏洞就是一个。作为一个菜鸟小程序员,我对sql注入的东西了解的也不深入,所以抽出时间专门学习了一下。现在把学习成果分享给大家,希望可以帮助大家学习。下面我们就来看一下。 一、什么是sql注入呢? 所谓SQL注入,就是通过把SQ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值