PreparedStatement防止sql注入的原理

最新推荐文章于 2024-04-24 18:07:45 发布
最新推荐文章于 2024-04-24 18:07:45 发布
阅读量510 收藏 5
点赞数
分类专栏: 笔记 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43894816/article/details/120187267
版权

1. PreparedStatement 与 Statement 是用来干什么的?

PreparedStatement 和Statement 都可以对sql语句进行编译并返回编译后的标识。

2. PreparedStatement 的优点?

		1. 有效防止sql注入。
		2. 预编译,比statement执行效率高(一次编译多次执行)
		3. 使用参数设置可读性好。

3. 什么是sql注入?

用户在前端页面用输入恶意的sql语句,欺骗服务器执行恶意的sql代码,导致数据库泄漏,这就是sql注入。例如:

select * from user where name = ‘${name}’

如果传入参数张三’ or 1=’1,用户就可以在不知道名字的情况下获取到所有数据。

4. PrepareStatement是如何防止sql注入的?

PrepareStatement 会对参数的每一位字符进行遍历,发现出现换行符、引号、斜杠等特殊字符,就会进行转义。转义后上述的sql注入将会失效。
转义前:select * from user where name = ‘张三’ or 1=’1’;
转义后: select * from user where name = ‘张三\’ or 1 = \’1’;
显然,转义后的sql语句查询结果为空。除非有奇葩名字叫“张三’ or 1 = ’1”。

参考文献:防sql注入原理

菜里都傻
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PreparedStatement 为什么能够防止注入式攻击
IrvingW的博客
04-07 1924
其实是预编译功能,用preparedstatement就会把sql的结构给数据库预编译。SQL注入 攻 击 是利用是指利用 设计 上的漏洞,在目 标 服 务 器上运行 Sql语 句以及 进 行其他方式的 攻 击 , 动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。 对 于 JDBC而言, SQL注入 攻 击 只 对 Statem
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
MySQL如何防止SQL注入
热门推荐
小红的布丁的博客
08-04 2万+
       最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!  作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶...
PreparedStatment防止SQL注入原理
qq_45671431的博客
05-06 1122
什么是SQL注入 SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,最终达到欺骗服务器执行恶意的SQL命令进而传给数据库服务器以执行数据库命令。如Web应用程序的开发人员对用户所输入的数据或cookie等内容不进行过滤或验证(即存在注入点)就直接传输给数据库,就可能导致拼接的SQL被执行,获取对数据库的信息以及提权,发生SQL注入攻击。 S...
如何防止SQL注入攻击?
最新发布
Xs_layla的博客
04-24 593
从使用预处理语句和参数化查询到验证和过滤用户输入,再到限制数据库用户权限和记录日志等,都是非常重要的环节。通过综合应用这些措施,我们可以大大降低SQL注入攻击的风险,保护应用程序和数据的安全。SQL注入攻击是一种常见的网络攻击方式,攻击者通过在应用程序的输入字段中插入恶意的SQL代码,从而操纵原本的SQL查询语句,达到非法获取、篡改或删除数据的目的。对用户的输入进行严格的验证和过滤是防止SQL注入的重要步骤。这样,数据库引擎会将参数视为数据而不是SQL代码的一部分,从而避免了SQL注入的风险。
PreparedStatement防止sql注入原理
m0_53328194的博客
05-27 1468
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
PreparedStatementsql注入攻击原理简析
qiqinbo2010的博客
01-31 267
PreparedStatementsql注入攻击原理简析 最近偶然翻到sql注入相关的内容,之前对PreparedStatement为什么可以防止sql注入一直一知半解,现在查了下资料,记录一下心得。 一般sql注入攻击主要是减少sql语句判断条件,或增加一个绝对true的语句,使sql执行结果不为空。 例如: 1.通过#注释掉一个判断条件,只要有用户名就可以登录。 用户名’#’ 2.通过增加一...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2572
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
Sql注入原理简介_动力节点Java学院整理
09-09
了解SQL注入原理和防范措施是保障Web应用安全的关键。 1. SQL注入的定义: SQL注入是通过将恶意SQL命令嵌入到用户提交的表单数据或URL参数中,使得服务器在处理这些数据时误执行这些命令。例如,当用户在登录界面...
SQL注入介绍与原理分析
03-28
下面将详细阐述SQL注入原理、常见类型及其防范措施。 一、SQL注入原理 SQL注入的基础在于应用程序没有充分验证或转义用户提供的输入。当用户提交的数据被直接拼接到SQL查询中时,恶意输入就可能改变查询的原始...
防止sql注入demo
07-12
- 使用预编译语句(PreparedStatement):这是防止SQL注入最常用的方法。预编译语句会将用户输入与SQL语句分离,确保即使输入含有恶意代码,也不会被执行。例如: ```java String query = "SELECT * FROM users ...
PreparedStatement防止sql注入原理
程宇寒
12-18 6760
PreparedStatement类是java的一个类,准确说是jdbc规范中的一个接口,各个数据库产商的实现不同(即实现类不同),今天我们就以mysql数据库来说,我已经下载了mysql数据库的驱动jar包和驱动程序的源代码. sql注入的时候,比如,有些用户就会在界面上输入anything' OR 'x'='x这种东西,最后sql语句就是如下: SELECT * FROM users WH...
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 667
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1552
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 249
preparement避免sql注入
preparedstatement防止sql注入的本质原理(找了很多文章,发现这种说法好像才是正确的)
Miao_Yue_LIN的博客
05-22 439
转发自该链接https://blog.csdn.net/silencediors/article/details/104085380 SQL注入的预编译疑惑 前几天拜读绿盟大佬写的web应用安全编码时,看到有一页PPT上加了一句话备注,preparedstatement预编译本质也是过滤。就这一点问题我请教了一个老司机和阅读了相关资料后,觉得有必要写出来一下。 preparedstatementstatement 这两个对象字如其意,可以参考相关文档对他们的详细分析。preparedstatement就是
以mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9768
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
JDBC PreparedStatement 防止sql注入原理
风的博客
08-30 2036
JDBC PreparedStatement 防止sql注入原理 使用Statement执行查询语句的时候  :            比如要执行用户名 密码登录验证的sql语句 经常要输入 String sql =  " select * from login where name=' " +name+ " ' and pwd = ' " +pwd+ " ' ";
预编译防止sql注入原理
09-09
这就是为什么预编译能够防止SQL注入的原因。通过使用PreparedStatement,可以将动态变量绑定到SQL语句中,而不是直接将变量插入到SQL字符串中。这种方式避免了将用户输入直接拼接到SQL语句中,减少了SQL注入的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜里都傻

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值