Java专题 JDBC---SQL注入攻击以及解决,PrepareStatement + 案例

最新推荐文章于 2024-04-15 05:21:01 发布
最新推荐文章于 2024-04-15 05:21:01 发布
阅读量243 收藏
点赞数
分类专栏: # Java进阶及开发总结 数据库 文章标签: java mysql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44131922/article/details/108165461
版权

注入攻击

通过在条件后面拼接一个 1=1 或者其他一定成立的条件,将所有数据查询出来

先看看效果
在这里插入图片描述
在这里插入图片描述

JDBC 注入

	@Test
public void test1() throws SQLException {
		Connection con=JdbcUtil.getConnection();
		Statement sm=con.createStatement();
		String username="'1' or 1=1";
		String psw="'1' or 1=1";
		String sql="select*from users where uname="
				+username+" and password="+psw;
		System.out.println(sql);
		ResultSet rs=sm.executeQuery(sql);
		if (rs.next()) {
			System.out.println("登录成功");
		}else {
			System.out.println("登录失败");
		}
		JdbcUtil.close(con, sm, rs);
	}

PrepareStatement解决sql注入攻击

public void test() throws SQLException {
	Connection con=JdbcUtil.getConnection();
	//2.获取执行sql的PreparedStatement
		/*
		 * String username="'1' or 1=1"; 
		 * String psw="'1' or 1=1";
		 */
	 String username="admin"; 
	 String psw="123";
	//?作为参数的值去表示
	PreparedStatement ps=con.prepareStatement("select*from users where uname=? and password=?");
	//1代表第一个?的值,?的所有从1开始的
	ps.setString(1, username);
	ps.setString(2, psw);
	//执行查询
	ResultSet rs=ps.executeQuery();
	if (rs.next()) {//判断有没查询出结果
		System.out.println("登录成功");
	}else {
		System.out.println("登录失败");
	}
	JdbcUtil.close(con, ps, rs);
}

PreparedStatement的crud

public void testAdd() throws SQLException {
	Connection con=JdbcUtil.getConnection();
	//获取预处理preparedStatement
	PreparedStatement ps = con.prepareStatement("insert users(uname,password) values(?,?)");
	//给?参数设置值
	ps.setString(1,"UserName");
	ps.setString(2, "123");
	int row=ps.executeUpdate();
	System.out.println("插入了"+row);
	JdbcUtil.close(con, ps,null);
}
/**删除
 * @throws SQLException
 */

public void testDel() throws SQLException {
	Connection con=JdbcUtil.getConnection();
	PreparedStatement ps=con.prepareStatement("delete from users where uid=?");
	ps.setInt(1, 6);
	int res=ps.executeUpdate();
	System.out.println("删除了"+res);
	JdbcUtil.close(con, ps, null);
}
public void testUpdate() throws SQLException {
	Connection con=JdbcUtil.getConnection();
	PreparedStatement ps=con.prepareStatement("update users set uname=? ,password=? where uid=?");
	ps.setString(1, "jack");
	ps.setString(2, "123");
	ps.setInt(3, 1);
	 int res=ps.executeUpdate();
	 System.out.println("影响了"+res);
	 JdbcUtil.close(con, ps, null);
}
@Test
public void testQuery() throws SQLException {
	Connection con=JdbcUtil.getConnection();
	PreparedStatement ps=con.prepareStatement("select * from users where uname like ?");
//	ps.setString(1, "__");
	ps.setString(1, "王%");
	ResultSet res = ps.executeQuery();
	while(res.next()) {
		int id=res.getInt("uid");
		String uname=res.getString(2);
		String psw=res.getString(3);
		System.out.println(id+"--"+uname+"--"+psw);
	}
	JdbcUtil.close(con, ps, res);
}

总结
Jdbc增删改查
步骤:

1.加载驱动

2.获取连接对象 connection

3.执行sql statement —>子接口PreparedStatement
所有的sql里面的参数不要用字符拼接,一律用?代替
Ps.setObject(?的位置,?的值) ?参数位置从1开始

4.如果执行的是查询 resultset
Next() 判断下一行有没有数据

getObject(列号) 根据列号取列的值
Getobject(列名) 根据列名取列的值

5.关闭资源

极光雨雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC入门七:SQL注入攻击SQL注入攻击解决策略:PreparedStatement预编译SQL;
小枯林的博客
04-11 582
的粉红色倒海翻江 1.PreparedStatemen简介 PreparedStatement:预编译Statement,其目的是解决SQL注入攻击的问题。 PreparedStatement: (1)PreparedStatement本质也是一个接口,只是其继承自Statement接口;专用于对SQL语句进行预处理以后再去执行; (2)在实际工作中,推荐使用PreparedStatement; 2.PreparedStatement和Sta...
SqlServe JDBC的增删改查 案例
12-05
`PreparedStatement`更安全,因为它支持参数化查询,可以防止SQL注入攻击。以下是如何插入数据的示例: ```java String sql = "INSERT INTO Users (name, email) VALUES (?, ?)"; PreparedStatement pstmt = conn...
java SQL注入修复代码_Java代码审计连载之—SQL注入
weixin_35784728的博客
02-26 464
》系列文章,本文章适合初学者,大牛留下脚印后请绕过,若代码有什么其他问题请忽略,因为那不是重点,此片只讲述SQL注入。本次写了两个简单的页面,一个登陆页面,一个查询id界面,如下:废话不多说,开始!SQL注入原理先看下百度百科对SQL注入的介绍:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应...
JDBC PrepareStatement 解决用户使用sql语句注入攻击数据库
陈福国的博客
06-12 365
解决用户使用sql语句注入攻击数据库 用statement 接口的子类 java.sql.PrepareStatement Extends Statement 接口 表示预编译的SQL语句 如何使用PrepareStatement对象 1. 获取conn.PrepareStatement (String sql) sql语句可以使用占位符 ? 2. 设置占位符的实际数据 3. 执行sql语句 i...
PreparedStatementStatement对比、 SQL 注入漏洞原理及实例分析
bzqgo的博客
03-14 329
测试代码import java.sql.*; import org.junit.Test; /** * PreparedStatementStatement对比、 PreparedStatement防止sql语句的注入原理与分析 * * @author baozq * * 2018年3月14日 */ public class SelectInject { //模拟用...
java sql: PrepareStatement
weixin_33840661的博客
06-27 276
参见菜鸟教程:JDBC 使用说明 增删改查: public class DbUtil { public static final String URL = "jdbc:mysql://localhost:3306/imooc"; public static final String USER = "liulx"; public static final ...
Java使用JDBC开发 之 SQL注入攻击解决方案
a1901149的博客
04-15 983
很多程序员,整天沉浸在业务代码的 CRUD 中,业务中没有大量数据做并发,缺少实战经验,对并发仅仅停留在了解,做不到精通,所以总是与大厂擦肩而过。我把私藏的这套并发体系的笔记和思维脑图分享出来,理论知识与项目实战的结合,我觉得只要你肯花时间用心学完这些,一定可以快速掌握并发编程。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
Java软件开发实战 Java基础与案例开发详解 18-2 JDBC类和接口 共16页.pdf
最新发布
07-07
相比`Statement`,使用`PreparedStatement`可以避免SQL注入攻击,并提高性能。 - **作用**: 发送包含参数标记的SQL语句到数据库。 - **关键方法**: - `setXXX(int parameterIndex, Object x)`:设置参数值。 - `...
Java Web应用开发 34 课堂案例-使用预编译SQL语句.docx
07-13
它允许开发者预编译SQL语句,以提高性能并防止SQL注入攻击。在案例中,通过以下代码创建PreparedStatement对象: ```java String strSql="insert into product values(?,?,?,?,?,?,?,?)"; PreparedStatement ...
Java软件开发实战 Java基础与案例开发详解 18-1 Java数据库编程 共6页.pdf
07-07
- **PreparedStatement**:适用于执行带有参数的SQL语句,可以有效防止SQL注入攻击。 - **CallableStatement**:用于调用数据库存储过程或函数。 #### 18.4 JDBC基本示例 下面是一个简单的JDBC示例,展示了如何...
JdbcTemplate.queryForList(sql)产生的漏洞问题修复
qq_43732387的博客
11-13 3617
JdbcTemplate.queryForList(sql)产生的漏洞问题修复 1、在一些遗留项目中使用的是JdbcTemplate.queryForList(sql)语句来查询数据,JdbcTemplate是Spring框架封装的数据库查询工具类,连接池也是安全的。但是在持续集成的时候扫描出了漏洞,一查才发现是String sql 是使用的+=“”来拼接的。这样产生了sql注入漏洞。 ...
JDBCSQL注入漏洞分析及解决
weixin_62336297的博客
07-01 243
注入漏洞解决
JDBC解决SQL注入问题以及Statement和PreparedStatement对比
为技术发烧而生
09-05 210
只要用户提供的信息不参与sql语句的编译过程,问题就解决了。即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,不起作用。用户输入的信息中包含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,导致sql语句的原意被扭曲,进而达到sql注入。PreparedStatement是先对sql语句进行预编译,然后再传入变量值,预编译中的待传参数部分用?
java preparestatement sql注入_使用PreparedStatement防止SQL注入
weixin_39674978的博客
02-25 165
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.SQL注入攻击是利用设计上的漏洞,在目标...
Java使用JDBC开发 之 SQL注入攻击解决方案,linux应用开发面试题
m0_64383449的博客
12-08 633
public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.注册驱动 反射技术,将驱动类加入到内容 Class.forName(“com.mysql.jdbc.Driver”); //2.获得数据库连接 DriverManager类中静态方法 //static Connection getConnection(String url, String user, String password
java preparedstatement update,Java JDBC - PreparedStatement executeUpdate()始终返回1
weixin_35322457的博客
03-13 363
目前我正在研究java中的代码,该代码从位于各种文件夹中的 XML 文件中检索 data ,然后将文件本身和检索到的数据上传到 SQL-server Database . 我不想将任何重复的XML文件上传到数据库,但由于文件可以随机命名我使用 Hash 来检查即将上传的每个文件,我将文件上传到下表:XMLFilesCREATE TABLE [dbo].[XMLFiles]([PathID] [i...
java PreparedStatement sql批量更新
热门推荐
tower888的专栏
08-31 2万+
private static void test1() { String sql = "update USER00 set downbandwidth=?,moddate=?,modoperator=? where username=?"; List list = new ArrayList(); Object[] u1 = { Integer.valueOf(10), ne
PreparedStatement实现表数据的修改操作 [JDBC][Java]
m0_57001006的博客
04-03 673
PreparedStatement实现表数据的修改操作 这里我们直接通过一个列子来理解如何使用PreparedStatement实现表数据的修改 package jdbc.使用PreparedStatement接口实现类操作数据库; import com.ffyc.util.JDBCUtils; import java.io.IOException; import java.sql.Connection; import java.sql.PreparedStatement; import java.sq
java.sql.SQLException: 无效的列类型 PreparedStatement.setObject
xiaoni815的博客
08-13 3035
问题: 采用PreparedStatement.setObject(i+1, values[i])传值时,报java.sql.SQLException: 无效的列类型,数据库字段是允许为空的 解决方法:前面加一个null判断,改成:setObject(i+1, null==values[i]?"":values[i]);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值