SQL注入以及使用PreparedStatement解决SQL注入

最新推荐文章于 2024-09-24 10:06:11 发布
最新推荐文章于 2024-09-24 10:06:11 发布
阅读量669 收藏 1
点赞数
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44250483/article/details/124206347
版权

SQL注入 PreparedStatement 安全性 用户输入验证 数据库连接
关键词由CSDN通过智能技术生成

SQL注入

  • SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。

使用PreparedStatement防止SQL注入

  • 在SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值
  • PreparedStatement会把所有用来替换占位符的都当成字符串处理
package com.jing.jdbc;

import com.jing.utils.JDBCUtils;

import java.sql.*;

// 使用PreparedStatement解决SQL注入问题
public class JDBCDemo03 {

    public static void main(String[] args) {
//        login("zhangsan", "123");
        login("' ' or 1=1", "123456");
    }

    public static void login(String username, String password){
        Connection connection = null;
        PreparedStatement statement = null;
        ResultSet resultSet = null;


        try {
            // 利用工具类获取数据库连接
            connection = JDBCUtils.getConnection();
            // 编写查询语句,值使用占位符?代替,PreparedStatement会将所有传过来的值当成字符串处理
            String sql = "SELECT * FROM sys_user where username = ? and password = ?";
            // 获取SQL语句执行对象
            statement =  connection.prepareStatement(sql);
            // 设置用户名和密码
            statement.setString(1, username);
            statement.setString(2, password);

            resultSet = statement.executeQuery();

            if(resultSet.next()){
                System.out.println("username=" + resultSet.getObject("username") + " ");
                System.out.println("password=" + resultSet.getObject("password") + " ");
            }else {
                System.out.println("用户名或密码错误,登录失败!");
            }


        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.release(connection,statement,resultSet);
        }
    }

}

 

 

鲸鱼-D
关注
专栏目录
用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 735
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
PreparedSatement预编译处理对象、解决SQL注入问题
huangyh技术栈
08-26 908
1.1 SQL注入问题: SQL攻击的原理:通过 ' 或者是 or 语句去改变SQL的判断条件。 JDBC连接mysql数据库实现登录注册功能实际上是存在SQL攻击问题的,别人可以使用任意的用户名以及密码进行登录。  例如: 用户名:bbb'or' 1=1 密码:sahfsf ' or '1=1 我们让用户输入的密码和SQL语句进行字符串拼接。用户输入的内容作为了SQL语句语法的...
JDBC-03-笔记
qq_24410589的博客
05-31 143
SQL防注入攻击(PreparedStatement) 1. sql注入攻击的演示 2.sql注入攻击的原理 3. PreparedStatement的介绍 4. PreparedStatement使用 5. 使用PreparedStatement优化student表的CRUD
JDBC PreparedStatement解决SQL注入方案
最新发布
长安初雪的博客
09-24 804
PreparedStatementStatement的子接口,可以防止sql注入问题。可以通过Connection接口中的prepareStatement(sql)方法获得PreparedStatement的对象。-----根据不同类型的数据进行方法的选择。从1开始计数,有几个问号,就需要传递几个参数。表示的是问号出现的位置。-----需要你事先传递sql。如果sql需要参数,使用?注意:sql提前创建好的。sql语句中需要参数。步骤三、执行,不需要在传递sql了。第二个参数:给问号的位置传入的值。
Day09_SQL注入(PreparedStatement
weixin_45014721的博客
04-01 282
文章目录一、解决SQL注入二、“Day08_JDBC工具类”的登录案例的改造 一、解决SQL注入 本节内容基于 Day08_JDBC工具类 的登录案例,包括用到的数据库也是那个案例里面的 1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 基于上一节练习过的登录案例 输入用户随便,输入密码:a' or 'a' = 'a,那么程序执行的就是select * from user where username = 'fhdsjkf' and passw
SQL注入与PreparedStatement对象
weixin_48426115的博客
08-11 129
sql存在漏洞,会被攻击导致数据泄露。
PreparedStatement 模拟并解决sql注入
cgj-horizons
08-01 452
1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)sql注入通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法。PrepareStatement对象setXXX(参数1,参数2)给?通过Connection对象获取,并传入对象的sql语句。如setInt(参数1,参数2)3如果sql模板一样,则只需进行一次检查,,编译。预编译sql语句执行预防sql注入问题。Sql语句中的参数,使用?...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
SQL注入漏洞过程实例及解决方案
09-08
总之,SQL注入是一种严重的安全威胁,但通过使用`PreparedStatement`、输入验证和其他防御策略,我们可以有效地防止此类攻击,保护我们的应用程序和数据安全。在开发过程中,始终牢记安全编码原则,确保应用的健壮性...
SQL注入及PreparedStatement
qq_52722789的博客
01-12 459
1. Statement 在连接建立后,需要对数据库进行访问,执行命名或是SQL语句,可以通过 Statement[存在SQL注入] PreparedStatement[预处理] CallableStatement[存储过程] 2.SQL注入 1=1永远成立 Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM stu where sno ='1' or
prepareStatement 是如何防止SQL注入的?
qq_24192465的博客
01-23 584
String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try { PreparedStatement pset_f = conn.prepareStatement(sql); pset_f.setString(1,inds[j]); pset_f.set...
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1298
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里和大家一起学习
关于prepareStatement可以防止SQL注入的理解
liuxiaoddd的专栏
11-27 6685
prepareStatement的两个作用: 1. 预处理功能,在多次执行相同的SQL语句的情况可以大幅提高执行效率; 2. 杜绝SQL注入的风险。
SQL注入问题的解决(PreparedStatement
2401_83330354的博客
04-04 931
最近我根据上述的技术体系图搜集了几十套腾讯、头条、阿里、美团等公司21年的面试题,把技术点整理成了视频(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。// SQL语句的框架,其中一个?将来接收一个“值”,注意占位符不能用单引号括起来。// 程序运行到此处,会发送sql语句框架传给DBMS,然后DBMS对sql语句进行预编译。System.out.println(“请输入账号:”);System.out.println(“请输入密码:”);
PrepareStatement sql注入
想飞的鱼
12-07 1424
http://blog.csdn.net/badyflf/article/details/7926944 http://www.iteye.com/problems/32029 http://blog.csdn.net/badyflf/article/details/7926632
PreparedStatement的介绍与解决sql注入
林高禄
06-24 9203
相关文章 jdbc连接以及出现的异常处理 Jdbc工具类 ResultSet的介绍与使用 jdbc中的sql注入 PreparedStatement PreparedStatementStatement的子接口,Statement是试行静态sql对象,PreparedStatement是执行预编译sql对象,用占位符?动态传参,解决sql注入问题。 下面就通过一个例子演示,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个...
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1509
PreparedStatement对象解决sql注入问题
Java使用PreparedStatement与Filter防止SQL注入
"Java防止SQL注入的几种方法主要集中在避免SQL拼接、使用预编译的PreparedStatement以及在输入数据时进行过滤。" SQL注入是一种常见的网络安全威胁,它允许攻击者通过在用户输入的数据中嵌入恶意SQL代码,篡改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值