Statement及其漏洞

最新推荐文章于 2022-08-19 20:59:55 发布
最新推荐文章于 2022-08-19 20:59:55 发布
阅读量306 收藏 1
点赞数
分类专栏: JAVA 文章标签: Statement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43654274/article/details/88429060
版权

1、查询操作
SQL: select * from 表名 --> 原始数据表 --> 结果集
JDBC:
发送查询SQL语句 --> 数据库实现数据检索
—> 数据库将结果集反馈给java应用程序 -->
将结果集实现封装
API:
ResultSet对象:结果集对象(数据表-记录、字段)

2、SQL注入攻击
		在javaJDBC操作中Statement对象会存在SQL注入攻击的风险,
		原因在于Statement对象不会进行SQL语句语法的检索。
		
		解决方案:
			PreparedStatement:预编译SQL语句对象
圈圆元
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Statement Tracer for Oracle
01-10
Statement_Tracer_for_Oracle是一款非常好用的oracle跟踪工具 目前网上基本都是英文原版的
Optical and structural properties of Ag(Cu)–As2Se3 chalcogenide films prepared by a photodoping.pdf
02-27
经典利用纳米Ag,Cu掺杂的硫系玻璃薄膜,推荐下
Statement对象sql注入漏洞的问题
awv94517的博客
08-10 210
现在通过mysql以及oracle来测试sql注入 漏洞 mysql中的注释# oracle中的注释为-- 所以注入漏洞就产生了 //登录测试 public void login()throws Exception{ Scanner input=new Scanner(System.in); System.ou...
Statement的安全问题
qq_40148447的博客
01-24 826
Statement的安全问题 ->使用Statement开发步骤: Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/day06", "root", "247436"); //3.创建statement , 跟数据库打交道一定需要这个对象, 一种提供操作sql语句的接口; Sta
使用Statement操作数据表的弊端
七一
07-27 502
使用Statement操作数据表的弊端 通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。 Statement 接口中定义了下列方法用于执行 SQL 语句: int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE ResultSet executeQuery(String sql):执行查询操作SELECT 但是使用Statement操作数据表
Statement 的弊端
qq_44125965的博客
07-23 255
弊端: Scanner scan = new Scanner(System.in); String name = scan.next(); … 拼串 String sql = “insert into customers(name,email,birth)values(’” + name +"’,’"+email+"’,’"+birth+"’)"; **注释:**经常使用拼接符,繁琐 SQL注入: SELECT user,password FROM user_table WHERE user = ‘1’ o
statement 和 preparedStatement 优缺点
weixin_33796205的博客
08-22 1006
statement:   优点:在一次批处理中,SQL表现形式灵活;   缺点:不能防止SQL注入,效率较低; preparedStatement:   优点:安全防止SQL注入;   缺点:在一次批处理中,SQL表现形式不太灵活; 总结: 使用了批处理,程序的执行效率不一定会快,这跟数据库版本,jar包版本,电脑配置,网络传输速度有关系。 建议使用JDBC批处理时结合着事务优...
HSBC-Bank-statement_statement_template_
09-29
hsbc statement template
StatementEventListener.rar_statement
09-20
An object that registers to be notified of events that occur on PreparedStatements that are in the Statement pool.
mux.rar_statement
09-14
mux 4 to 1 in vhdl with generic statement
prepare cashflow_cashflow_statement_
10-04
Do you know how to prepare a cashflow statement?
JDBC-使用Statement操作数据库的弊端
weixin_49984174的博客
08-10 330
使用Statement操作数据库的弊端 问题一:存在拼串操作 假设情景如下:当从控制台输入需要在数据库查询的用户名密码时,此时存在拼串操作,操作繁琐且可读性差 问题二:sql注入问题 所以为了避免sql注入问题,用PrepareStatement取代Statement ...
使用Statement类执行SQL语句时存在SQL注入漏洞(黑客攻击数据库常用手段),及预防注入的方法(PrepareStatement类)
mayanni_blogs的博客
09-02 964
什么是SQL注入 SQL注入攻击通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,它目前是黑客对数据库进行攻击的最常用手段之一。 SQL注入实例 绕过登录(只需知道用户名、无需知道密码即可登录成功) 实际userName=“zs”;password=“123”; //模拟用户输入userName和password St...
Statement和PrepareStatement方法针对SQL注入式攻击的实例
光老弟的博客
08-19 591
对于JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement是无效的。
A prepared statement is generated from a nonconstant String
苍月
01-08 6167
Findbugs报错: A prepared statement is generated from a nonconstant String The code creates an SQL prepared statement from a nonconstant String. If unchecked, tainted data from a user is used in
Findbugs修改总结
linsa_pursuer的博客
06-23 4586
Findbugs修改总结
JDBC为什么要使用PreparedStatement而不是Statement
weixin_34260991的博客
11-26 246
2019独角兽企业重金招聘Python工程师标准>>> ...
使用preparedStatement来解决sql注入漏洞
WARGON的博客
07-17 1361
使用Statement来执行sql语句,如果语句中连接的有变量,那么可以对变量进行一些修改使绕过sql语句的判断条件。比如: public static boolean login(String username,String password) { Connection conn = null; Statement stmt = null; ResultSet rs = null...
preparestatementstatement
最新发布
03-16
prepareStatementStatement 都是 Java 中用于执行 SQL 语句的接口,但它们之间有一些区别。 Statement 是最基本的 SQL 执行接口,通过 Statement 可以执行一条静态的 SQL 语句,例如 SELECT、INSERT、UPDATE、DELETE 等。但是每次执行 SQL 语句都需要将 SQL 语句发送给数据库服务器进行解析和编译,因此对于重复执行的 SQL 语句会产生性能问题。 prepareStatement 接口可以提高性能,它预编译了 SQL 语句并将编译结果缓存起来,这样在多次执行相同的 SQL 语句时,只需要传递参数即可直接执行,不需要每次都重新编译 SQL 语句,从而提高执行效率。此外,prepareStatement 还可以防止 SQL 注入攻击,因为它会将传入的参数转义后再执行 SQL 语句。 因此,如果需要执行重复的 SQL 语句或需要防止 SQL 注入攻击,建议使用 prepareStatement 接口。 是的,您的理解是正确的。Statement是Java中最基本的SQL执行接口之一,但是每次执行SQL语句都需要将SQL语句发送给数据库服务器进行解析和编译,这可能会导致性能问题。而prepareStatement接口预编译了SQL语句并将编译结果缓存起来,从而在多次执行相同的SQL语句时,可以直接执行而不需要重新编译SQL语句,从而提高执行效率。另外,prepareStatement可以防止SQL注入攻击,因为它会将传入的参数转义后再执行SQL语句。因此,如果需要执行重复的SQL语句或需要防止SQL注入攻击,建议使用prepareStatement接口。prepareStatementstatement都是在Java中用于执行SQL语句的接口,不同之处在于它们的执行方式和效率。 statement是一个简单的接口,用于执行静态SQL语句。当你使用statement执行SQL语句时,每次执行都需要将SQL语句编译成可执行的语句,并将其发送到数据库执行。这种方式存在一定的安全隐患,因为可能会受到SQL注入攻击。 而prepareStatement则是一个预编译的接口,它可以防止SQL注入攻击。使用prepareStatement执行SQL语句时,首先将SQL语句发送到数据库进行预编译,然后将参数绑定到预编译的语句中,最后再执行该语句。由于预编译的语句已经在数据库中编译过了,因此每次执行SQL语句时,不需要重新编译,可以提高效率。 总之,如果需要执行多次相同或类似的SQL语句,并且要防止SQL注入攻击,那么最好使用prepareStatement。如果只需要执行一次简单的SQL语句,那么可以使用statement

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值