JDBC登录案例开发-预编译语句防止注入攻击

最新推荐文章于 2024-08-06 15:20:26 发布
最新推荐文章于 2024-08-06 15:20:26 发布
阅读量116 收藏
点赞数
文章标签: mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43814894/article/details/104228176
版权

JDBC登录案例开发-预编译语句防止注入攻击

最近在学jdbc连接数据库,但不明白为什么要预编译,多此一举呢?而后自己查了一些资料,欢迎交流指正呀。

1.什么是注入攻击

当我们在使用jdbc连接数据库完成登录验证工作时,从键盘录入账号和密码 ,
有时利用一定规则输入密码,无论该数据在数据库中匹配与否都能成功登录。
下面举例:

String account="51188688"; //输入账号
String password=" 123' or '4'='4 "; //输入密码
String sql="select * from admin where account='"+account+"' 
			and password='"+password+"' ";

加载驱动,获得连接,返回结果集,我们输出解析的sql语句

System.out.println(sql);

结果:
在这里插入图片描述
显然,密码在解析为sql语句时,or ‘4’='4’不再为密码内容,促使条件始终为true,此时所有数据均会加载到结果集中,登陆成功!
结果:
在这里插入图片描述
接下来是解决方法。

2.预编译语句设置参数

直接上代码:

String account="51188688"; //输入账号
String password=" 123' or '4'='4 "; //输入密码
String sql="select * from admin where account=? and password=? "; 
//预编译sql语句
PreparedStatement statement = connection.prepareStatement(sql);
statement.setString(1,account); //sql语句中的第1个?为 account (“51188688”)
statement.setString(2,password);//sql语句中的第2个?为 password

这样直接将账号与密码作为参数传输进去,便避免了注入问题。

扩展:类似因sql语句导致踩坑的还有很多。例如当在某系统中输入若干条件,如果where中用内连接查询某员工信息时,若员工信息存在,但因输入薪资多打了0超过约束条件时,便会显示无此员工信息,此时用外连接就可以解决这个问题。

sudaCode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二十七、JDBC连接数据库与预编译登录(及用预编译的原因)
pinkCoderMonkey的博客
09-11 357
导入驱动包:点击 1.连接数据库 package com.conn; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; public class JDBC {...
sql 预编译语句
weixin_41563161的博客
11-25 5244
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
jdbc连接的时候进行 预编译
weixin_43256484的博客
04-10 287
防止用户进行sql恶意注入 https://www.cnblogs.com/zouqin/p/5314827.html
JDBC预编译语句
热门推荐
苍月
02-28 1万+
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
使用PreparedStatement预编译语句对象
昊帅的博客
09-01 968
首先,要弄明白为什么要用PreparedStatement 代替Statement? 1、用PreparedStatement,代码的可读性和可维护性高 2、PreparedStatement 能尽最大可能提高性能 3、最重要的一点,极大的提高了安全性(防止sql注入) 简单的sql注入:当用Statement时,用’or 1= 1 or’可以作为password进入任何登陆账户。这是因为当
JDBC概述、详解、预编译机制、批处理机制及JDBC连接池
张艳霞
09-16 372
一、JDBC概述 数据库驱动 所谓数据库驱动就是数据库厂商提供连接数据库的jar包。 开发人员只需要导入数据库驱动包就可以通过该驱动包提供的api来接并操作数据库。 不同的数据库的驱动包互不兼容,需要操作什么数据库就要导入该数据库的驱动包。 JDBC 由于不同的数据库厂商提供的数据库驱动各不相同,在使用不同数据库时需要学习对应数据库驱动的api,对于开发人员来说学习成本十分的高。 于是sun提供了JDBC的规范,本质上一大堆的接口,要求不同的数据库厂商提供的驱动都实现这套接口,这样以来开发人员只需要学会J
SQL 注入攻击介绍与测试案例
你若盛开,蜜蜂自来
01-25 8539
博主声明: 转载请在开头附加本文链接及作者信息,并标记为转载。本文由博主威威喵原创,请多支持与指教。 本文首发于此 博主:威威喵|博客主页:https://blog.csdn.net/smile_running SQL注入攻击 SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 ...
JDBC入门七:SQL注入攻击:SQL注入攻击的解决策略:PreparedStatement预编译SQL;
小枯林的博客
04-11 572
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
Java Web应用开发 34 课堂案例-使用预编译SQL语句.docx
07-13
它允许开发预编译SQL语句,以提高性能并防止SQL注入攻击。在案例中,通过以下代码创建PreparedStatement对象: ```java String strSql="insert into product values(?,?,?,?,?,?,?,?)"; PreparedStatement ...
JDBC_用户登录案例_前端页面.zip
05-07
3. **创建Statement或PreparedStatement**:`Statement` 用于执行静态 SQL 语句,而 `PreparedStatement` 可预编译 SQL,提高性能,同时防止 SQL 注入攻击。 4. **执行SQL语句**:调用 `executeQuery()` 或 `...
jsp+servlet+jdbc注册登录入门项目
11-11
需要注意的是,为了确保安全,通常会使用PreparedStatement来防止SQL注入攻击。 数据库部分,我们有一个名为`test`的数据库,里面有一个`user`表,包含与`User`类字段对应的列。`User`类可能是Java程序中的一个实体...
Java软件开发实战 Java基础与案例开发详解 18-2 JDBC类和接口 共16页.pdf
07-07
- `prepareStatement(String sql)`:创建一个预编译的`PreparedStatement`对象,用于发送包含参数标记的SQL语句到数据库。 - `commit()`:提交当前事务。 - `rollback()`:回滚当前事务。 - `close()`:关闭连接...
Java Web程序设计-1期 项目库_单元案例_预编译和存储过程操作教学案例.doc
07-13
- **防止SQL注入**:PreparedStatement自动处理了字符串转义,有效避免了SQL注入攻击。 - **类型安全**:`setXXX`方法确保了数据类型的正确性,避免了因类型不匹配导致的运行时错误。 4. **执行SQL语句**: 使用...
MySQL】慢sql优化全流程解析
k123456kah的博客
08-04 1094
explain 是 MySQL 提供的一种用于分析和调试 SQL 查询的工具。 通过使用 explain,可以了解 MySQL 在执行查询时采用的具体执行计划,包括访问数据表的方式、使用的索引、连接表的顺序等信息。这些信息对于优化查询性能至关重要。
MySQL第3讲--数据类型和表的修改和删除
xp_fangfei的博客
08-04 928
上一节在MySQL第2讲–关系型数据库以及SQL语句分类之DDL数据库和表的操作我们介绍了,数据库的操作:查询数据库,创建数据库,删除数据库,适应数据库;表的操作:表的查询,表的创建;在这一节我们将要接着讲述表的操作:表的修改和表的删除;以及数据类型;
5 mysql 查询语句
qq_45725890的博客
08-02 345
提示:Execute执行 Execute and Suppress 执行并且抑制这个警告。有的只显示分组后第一个数据。person表的结构。
04、MySQL-DCL(数据控制语言)
最新发布
nibabaoo的博客
08-06 268
例:创建用户zhangsan 只能够在当前主机localhost访问 密码123456。例:创建用户xiaoming 可以在任意主机访问该数据库 密码123456。例:修改用户zhangsan的密码为654321。例:删除用户xiaoming。
MySQL——数据表的基本操作(三)修改数据表
PAP
08-04 1079
MySQL——数据库和表的基本操作(三)修改数据表
"Java与JEE架构-第章JDBC技术详解及MySQL基础
带参数的SQL语句可以防止SQL注入攻击,并且可以重复使用同一条预编译的SQL语句。 最后一章分页处理,介绍了在处理大量数据时如何使用分页技术来提高数据库查询效率。分页处理可以使得查询结果的返回更加灵活和高效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值