sql注入的问题以及preparedStatem防止sql注入

已于 2022-04-16 10:52:49 修改
阅读量1.3k 收藏
点赞数
分类专栏: Mysql基础
于 2022-04-02 20:30:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45156514/article/details/123927531
版权

SQL注入 PreparedStatement 参数化查询 预防措施 Java
关键词由CSDN通过智能技术生成

sql存在漏洞,会被攻击导致数据泄露 SQL会被拼接 or

sql注入:
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

package com.linfeng.Demo02.utils;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class DengLu {

    public static void main(String[] args) {
//denglu("zhangsan","123456");//正常登陆
        denglu(" 'or'1=1","123456");
    }

//登录方法
    public static void denglu(String username, String password) {

        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            conn = Jdbcutils.getConnection();//获取数据库连接
            st = conn.createStatement();//获得sql的执行对象
            //先sql原型,替换为单引,中间加双引,中间加双加号,中间加变量
            String sql = "SELECT * FROM users WHERE `name`='" + username + "' AND `password`='" + password + "'";
            //SELECT * FROM users WHERE `name`='zhangsan' AND `password`='123456'
            // SELECT * FROM users WHERE `name`='' or '1=1' AND `password`='123456'
            // SELECT * FROM users WHERE `name`='' or '1#' AND `password`='123456'

            System.out.println(sql);
            rs = st.executeQuery(sql);
            while (rs.next()) {
                System.out.println(rs.getString("name"));
                System.out.println(rs.getString("password"));
                System.out.println("==============");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            Jdbcutils.release(conn, st, rs);
        }
    }

}

导致结果:错误的用户名或者密码可以获取到全部的用户信息
在这里插入图片描述


preparedStatem可以防止sql注入并且效率更高

增加操作

package com.linfeng.Demo03;

import com.linfeng.Demo02.utils.Jdbcutils;

import java.sql.*;
import java.util.Date;

public class TestInsert {
    public static void main(String[] args) {
        Connection conn=null;
        PreparedStatement st=null;
        ResultSet rs=null;
        try {
            conn = Jdbcutils.getConnection();
            //区别:使用?代替参数
            String sql="INSERT INTO users(`id`,`name`,`password`,`email`,`birthday`)VALUES (?,?,?,?,?)";
            st=conn.prepareStatement(sql);//预编译sql,然后不执行
          //手动赋值
            st.setInt(1,4);//id赋值
            st.setString(2,"ssss");
            st.setString(3,"dfsefs");
            st.setString(4,"2345235@qq.com");
            //sql.date数据库用的
            //util.date   java用的             new Date().getTime()获得时间戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            int i =st.executeUpdate();//
            if (i>0){
                System.out.println("插入成功!");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            Jdbcutils.release(conn,st,rs);
        }

    }
}

注意点: new Date().getTime()获得时间戳
在这里插入图片描述

删除操作

import com.zyy.lesson02.utils.JDBCUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

/**
 * @ClassName: TestDelete
 * @Description: TODO 类描述
 * @Author: zyy
 * @Date: 2021/07/14 18:19
 * @Version: 1.0
 */
public class TestDelete {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            con = JDBCUtils.getConnection();
            //使用?占位符代替参数
            String sql = "DELETE FROM users WHERE `id`=?";
            //预编译SQL,先写SQL,然后不执行
            st = con.prepareStatement(sql);
            //手动给参数赋值
            st.setInt(1, 5);
            int num = st.executeUpdate();
            if (num > 0) {
                System.out.println("删除成功!");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.release(con, st, rs);
        }

    }
}

查询

import com.zyy.lesson02.utils.JDBCUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

/**
 * @ClassName: TestSelect
 * @Description: TODO 类描述
 * @Author: zyy
 * @Date: 2021/07/14 18:19
 * @Version: 1.0
 */
public class TestSelect {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            con = JDBCUtils.getConnection();
            //使用?占位符代替参数
            String sql = "SELECT * FROM users WHERE id=?";
            //预编译SQL,先写SQL,然后不执行
            st = con.prepareStatement(sql);
            //手动给参数赋值
            st.setInt(1, 1);
            rs = st.executeQuery();
            while (rs.next()) {
                System.out.println("id="+rs.getInt("id"));
                System.out.println("name="+rs.getString("name"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.release(con, st, rs);
        }

    }
}

来看看如何防止sql注入

把上一段代码改为preparedstatement,用?代替参数

import com.zyy.lesson02.utils.JDBCUtils;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

/**
 * @ClassName: SQLQuestion
 * @Description: TODO 类描述
 * @Author: zyy
 * @Date: 2021/07/14 18:19
 * @Version: 1.0
 */
public class SQLQuestion {
    public static void main(String[] args) {

        //正常登录
//        login("张三","123456");

        //sql注入
        login("' or '1=1", "123456");

    }

    /**
     * 登录业务
     */
    public static void login(String userName, String password) {
        Connection con = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            con = JDBCUtils.getConnection();
            // PreparedStatement 防止SQL注入的本质,把传递进来的参数当做字符
            // 假设其中存在转义字符,比如说'会被直接转义
            String sql = "SELECT * FROM users WHERE `name`=? AND `password`=?";
            st = con.prepareStatement(sql);
            st.setString(1, userName);
            st.setString(2, password);
            rs = st.executeQuery();
            while (rs.next()) {
                System.out.println("id=" + rs.getInt("id"));
                System.out.println("name=" + rs.getString("name"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.release(con, st, rs);
        }
    }
}

PreparedStatement 防止SQL注入的本质,把传递进来的参数当做字符


假设其中存在转义字符,比如说’会被直接转义

小霸王学习机_001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nacos docker集群 发布失败。请检查参数是否正确。
coderYJ的博客
06-08 4177
nacos-docker 集群部署
org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallbackbad SQL grammar [update
qq_40853933的博客
09-08 8464
错误: org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallback; bad SQL grammar [update t_account set money=money-?where username=?]; nested exception is com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your
BadSqlGrammarException PreparedStatementCallback bad SQL grammar
想握住此生辽阔
06-27 8109
解决方法,检查一下sql语句有没有语法错误,或者你插入的表名称是不是谢谢错了
Unknown column ‘encrypted_data_key‘ in ‘field list‘
城南蝈蝈
11-22 1811
text NOT NULL COMMENT ‘秘钥’ AFTER。nacos启动的时候报错了,原因是一些数据库表缺少字段。执行上面的代码后,就可以正常启动了。
mysql中00933错误_java.sql.SQLException: ORA-00933: SQL 命令未正确结束错误解决
weixin_34738304的博客
02-02 3047
在程序运行时,程序报sql错误“nested exception is java.sql.SQLException: ORA-00933: SQL 命令未正确结束”,具体错误如下所示:调用函数异常...org.springframework.jdbc.BadSqlGrammarException:PreparedStatementCallback;badSQLgrammar[select...
org.springframework.dao.TransientDataAccessResourceException: PreparedStatementCallbackSQL [select
m0_46212244的博客
03-23 3482
org.springframework.dao.TransientDataAccessResourceException: PreparedStatementCallback; SQL [select * from test01 where id = ]; Parameter index out of range (1 > number of parameters, which is 0).; nested exception is java.sql.SQLException: Parameter i
C# MVC 过滤器防止SQL注入
09-15
C# MVC 过滤器防止SQL注入
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
防止SQL注入的方法主要包括: 1. 参数化查询:使用预编译的SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:...
pymysql如何解决sql注入问题深入讲解
09-09
在Python的pymysql库中,处理SQL注入问题至关重要,因为如果不加以防范,可能会导致敏感数据泄露或系统破坏。本文将深入讲解如何使用pymysql有效地解决SQL注入问题。 首先,理解SQL注入的根本原因。当使用动态字符...
Hibernate使用中防止SQL注入的几种方案
01-20
在使用Hibernate进行数据库操作时,虽然它提供了便捷的ORM(对象关系映射)功能,但同时也需要关注SQL注入的安全问题SQL注入是一种常见的攻击手段,攻击者可以通过输入恶意的SQL语句来篡改数据库信息,严重威胁...
org.springframework.dao.DuplicateKeyException: PreparedStatementCallback; SQL [insert into tab_user(
H_L_Y的博客
04-04 4315
PreparedStatementCallback; SQL [insert into tab_user(username,password,name,birthday,sex,telephone,email,status,code) values(?,?,?,?,?,?,?,?,?)]; Duplicate entry ‘zhangsan’ for key ‘AK_nq_username’; n...
2020-05-15
weixin_45684448的博客
06-14 237
SSM连接数据库报错PreparedStatementCallback; bad SQL grammar [insert into order values(?,?,?,?,?)]; nested exception is java.sql org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallback; bad SQL grammar [insert into order values(?,?,?,?,?)]; nest
Java报00933异常_sql语句大全之java.sql.SQLException: ORA-00933: SQL 命令未
weixin_39875516的博客
03-02 319
在程序运行时,程序报sql错误“nested exception is java.sql.SQLException: ORA-00933: SQL 命令未正确结束”,具体错误如下所示:调用函数异常...org.springframework.jdbc.BadSqlGrammarException:PreparedStatementCallback;badSQLgrammar[select...
数据库数据内容溢出
qq_39659549的博客
06-02 1546
数据库数据内容溢出错误展示问题原因解决方法 错误展示 HTTP Status 500 - PreparedStatementCallback; SQL [insert into tab_user(username,password,name,birthday,sex,telephone,email) VALUES (?,?,?,?,?,?,?)]; Data truncation: Data too long for column ‘sex’ at row 1; 问题原因 500错误来源于编写的服务器代码
java学习笔记:PreparedStatement解决sql注入
黄道婆的专栏
07-29 794
java学习笔记:PreparedStatement解决sql注入 sql注入 ---- sql注入:由于没有对用户输入进行充分检查,而SQL又是拼接而成,在用户输入参数时,在参数中添加一些SQL 关键字,达到改变SQL运行结果的目的,也可以完成恶意攻击。 1_原因: String sql = select * from user where username =' zhangsan' ...
关于java StatementCallback; bad SQL grammar解决办法
weixin_45202083的博客
04-07 1万+
在配置文件url这里加上allowMultiQueries=true就解决了。
PreparedStatementCallback; bad SQL grammar [delete user where id=?]; nested exception is com.mysql.j
qq_20156289的博客
07-27 3万+
错误代码: PreparedStatementCallback; bad SQL grammar [delete user where id=?]; nested exception is com.mysql.j org.springframework.jdbc.BadSqlGrammarException: PreparedStatementCallback; bad SQL grammar [...
org.springframework.jdbc.BadSqlGrammarException: StatementCallback; bad SQL grammar [SELECT * FROM
热门推荐
潇潇的博客
08-14 8万+
1、sql拼写中的错误: org.springframework.jdbc.BadSqlGrammarException: StatementCallback; bad SQL grammar [SELECT * FROM DEMO_ORDER WHERE 1=1and order_id = '1']; nested exception is com.mysql.jdbc.exceptions.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值