PreparedStatement防注入demo

最新推荐文章于 2023-12-02 08:18:30 发布
最新推荐文章于 2023-12-02 08:18:30 发布
阅读量222 收藏
点赞数 2
分类专栏: MySQL 文章标签: jdbc mysql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43752257/article/details/107725944
版权

PreparedStatement有效防止注入的简单示例(源码在后面):
(statement实现简单注入在上一篇博客)
程序截图:
图一 登录成功
图一
图二 登录失败
图二
图三 SQL简单注入失效
图三
图四 数据库表截图
图四

程序源码:

package sqlzhuru;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Scanner;

public class preparedstatement {
	public static void query() {
		Connection conn=null;
		PreparedStatement pstmt=null;
		ResultSet rs=null;
		try {
			String URL="jdbc:mysql://localhost:3306/xuexi";
			String name="root";
			String pwd="YES";
			Class.forName("com.mysql.jdbc.Driver");
			conn=DriverManager.getConnection(URL, name, pwd);
			String sql="select count(*) from login where uname=? and upwd=?";
			Scanner input =new Scanner(System.in);
			System.out.println("请输入用户名:");
			String uname=input.nextLine();
			System.out.println("请输入密码:");
			String upwd=input.nextLine();
			pstmt=conn.prepareStatement(sql);
			pstmt.setString(1, uname);
			pstmt.setString(2, upwd);
			rs=pstmt.executeQuery();
			int count=-1;
			if(rs.next()) {
				count=rs.getInt(1);
			}
			if(count>0) {
				System.out.println("登录成功!");
			}else {
				System.out.println("登陆失败!");
			}
		}catch(ClassNotFoundException e) {
			e.printStackTrace();
		}catch(SQLException e){
			e.printStackTrace();
		}
		finally {
			if(rs!=null) {
				try {rs.close();
			}catch(SQLException e) {
				e.printStackTrace();
			}
		    }
			if(pstmt!=null) {
				try {
					pstmt.close();
				}catch(SQLException e) {
					e.printStackTrace();
				}
			}
			if(conn!=null) {
				try {
					pstmt.close();
				}catch(SQLException e) {
					e.printStackTrace();
				}
			}
	}
	}
	public static void main(String[] args) {
		// TODO Auto-generated method stub
         query();
	}

}
欧阳子遥
关注
专栏目录
JDBC_PreparedStatement止SQL注入问题详细介绍
weixin_50991263的博客
05-16 377
PreparedStatement 作用:1.提升SQL执行性能 2.预SQL注入问题 SQL注入: SQL注入是同过操作输入来修改实现定义好的SQL语句,用来达到执行代码对服务器进行攻击得方法 例如:PreparedStatement其实是Statement得子类,如...
MySQL学习总结(6) --- SQL注入问题 及 PreparedStatement
qq_44823091的博客
07-23 184
MySQL学习总结(6) — SQL注入问题 及 PreparedStatement 1. SQL注入问题 SQL注入,就是通过把SQL命令插入到Web表单提交,最终达到欺骗服务器执行恶意的SQL命令。 如上篇文章中对数据库的查询,通过输入用户名查询信息。 如果输入数据库表单中有的用户名,可以获得正确的结果 如果输入不存在的用户名,查询会失败 如果输入select * from users whe...
PreparedStatement 使用 demo
chen88358323的专栏
03-30 227
[code="java"] package cc.java.sql.db; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Timestamp; import jav...
转!! PreparedStatement是如何止SQL注入
weixin_30437337的博客
01-04 120
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 Stri...
mysql prepare 注入_mysql-preparestatement止sql注入
weixin_31088605的博客
01-19 477
项目中--遇到类似问题。一、什么是sql注入?先举个栗子:用户登录SELECT * From Table WHERE Name='XX' and Password='YY' and Corp='ZZ'注入之后:SELECT * From Table WHERE Name='SQL inject' and Password='' and Corp='' or 1=1--'可以看到注入后可以免密码登录...
PrepareStatement数据库注入
nuptxiaoli
10-23 454
package cn.test.javaee.service; import org.junit.Test; import cn.test.entity.User; import cn.test.javaee.service.impl.UserServiceImpl; public class IUserServiceTest { @Test public void testLogin
PreparedStatement止SQL注入
qq_42732184的博客
04-19 1569
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
止sql注入demo
07-12
本示例"止SQL注入demo"是针对这种威胁的一种御措施,主要关注Java环境下的解决方案。下面我们将深入探讨SQL注入的基本原理、为何需要止以及如何在Java中实现过滤器(Filter)来止此类攻击。 1. SQL注入基础...
Java数据库连接PreparedStatement的使用详解
08-29
2. 止 SQL 注入:PreparedStatement 可以止 SQL 注入攻击,因为它使用参数绑定,而不是将用户输入直接拼接到 SQL 语句中。 使用 PreparedStatement 的步骤 1. 加载驱动:首先需要加载 JDBC 驱动,以便连接...
第二阶段第9天[PreparedStatement,SQL注入]
m0_64698526的博客
10-21 230
由于数据库连接对象在创建和销毁时占用的能耗可能比数据库操作更大,为了能够节省资源,循环利用。通过PreparedStatement。2.url username psw 属性文件。语句时,产生了不符合预期要求的结果,这种现象称为。1.注册驱动 和获取连接。3.工具类加载并获取Connection。3.增删改 和 查询。和管理数据库连接对象,创建了线程池。
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1289
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
【运维】PreparedStatement止SQL注入
weixin_37543485的博客
09-15 518
参数化查询是编写安全数据库代码的最佳实践之一。
PrepareStatement用于止SQL注入
乐子
06-01 528
prepareStatement 更加安全,能够止sql注入,威胁数据库安全。  例如:    如果用户输入'' or 1=1  登录验证时查询语句变为select * from user where username='' or 1=1;  依然成立 绕过验证。  还有很多sql注入代码~~  prepareStatement 能够预处理sql语句,止这种情况 在使用prep
【大数据系列之JDBC】(五):使用PrepareStatement止SQL注入
CSDN 精品推荐
12-22 274
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
PrepareStatement对象(新增、删除、更新、查询、止SQL注入
...
08-02 950
MySQL三十三:PrepareStatement对象 PrepareStatement 可以止SQL注入,并且效率高! 1、新增 package lesson03; import lesson02.utils.JdbcUtils; import java.sql.*; public class TestInsert { public static void main(String[] args) { Connection conn =null; Prepar
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 303
preparement避免sql注入
关于prepareStatement可以止SQL注入的理解
liuxiaoddd的专栏
11-27 6673
prepareStatement的两个作用: 1. 预处理功能,在多次执行相同的SQL语句的情况可以大幅提高执行效率; 2. 杜绝SQL注入的风险。
如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
最新发布
sjs52406的博客
12-02 1876
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
Java数据库编程---PreparedStatement接口
SkewRain的专栏
02-13 2097
PreparedStatement简介 PreparedStatementStatement的子接口,属于预处理操作,与直接使用Statement不同的是,PreparedStatement在操作时,是先在数据表之中准备好了一条SQL语句,但是此SQL语句的具体内容暂时不设置,而是之后再进行设置,以插入数据为例,使用PreparedStatement插入数据时,数据表中的指针首先指向最后一条数
帮我写一段代码,要求使用jdbc查询sql语句,规避sql注入漏洞,sql中的标名是动态的
08-30
通过使用`PreparedStatement`预处理语句,我们可以有效的止SQL注入漏洞的发生。 ### 回答2: 对于使用JDBC查询SQL语句,规避SQL注入漏洞且其中的表名是动态的,可以采用参数化查询的方式来实现。 代码示例: ``...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值