JDBC自学笔记 四 (SQL注入与解决方法)

最新推荐文章于 2022-09-05 21:32:42 发布
最新推荐文章于 2022-09-05 21:32:42 发布
阅读量145 收藏 1
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45749653/article/details/109689337
版权

使用 Statement 运行sql语句 可能会发生SQL注入
一般在用户登录时发生
例:
//一个SQL语句
String sql=“select * from t_ble where username=’”+username+"’ AND password=’"+password+"’";
当我们从外部传入 uesrnem 与 password 时
若传入 username:fdsa
password:fdsa’ or ‘1’='1 时
进行编译的sql语句为:
select * from t_ble where username=‘fdsa’ AND password=‘fdsa’ or ‘1’=‘1’(恒成立)
这样不论用户名和密码是否正确 都可以通过
以上正好完成了sql语句的拼接,发送sql语句给DBMS,DBMS进行sql编译,将非法信息编译进去导致原sql语句含义扭曲,进而达到sql注入

解决SQL注入:
使用户提供的信息不参与SQL语句的编译过程 就可以解决SQL注入

使用java.sql.PreparedStatement可使用户输入信息不参与编译
PreparedStatement继承了java.sql.Statement
PreparedStatement属于预编译的数据库操作对象
PreparedStatement的原理:与先对SQL框架进行编译,然后再给其传值

解决例子的SQL注入:
Connection conn=null;
ResultSet rs=null;
PreparedStatement ps=null;
//将sql语句的框子进行预编译 ‘?’ 为占位符 两边不写单引号
String sql=“select * from t_ble where username=? AND password=?”;
ps=conn.prepareStatement(sql);
//对占位符?进行赋值 第一个?下标为1 第二个?下标为2
ps.setString(1,username);
ps.setString(2,password);
这样不论用户输入什么都不会发生SQL注入了

对比PreparedStatemnet与Statement

1.prapereedStatement解决了SQL注入
2.prapereedStatement效率更高(因为Statement每次数据更改就重新编译一次 prapereedStatement只需要编译一次)
3.prapereedStatement有安全检查

当业务必须要求sql注入时 用Statement

不断学习——
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JDBCSQL注入问题案例详解(简单易懂版)
奈何的人生
04-02 1313
什么是SQL注入SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 简单来说 当用户输入的数据中有SQL关键字或语法时,并且参与了SQL语句的编译,导致SQL语句编译后条件结果为tr...
java,jsp,jdbc自学所用笔记和ppt
07-11
4. **笔记和PPT**: 自学资料通常包括对每个主题的详细解释、示例代码、练习题和解决方案。笔记可能会深入讲解概念,提供清晰的步骤和解释,而PPT可能更注重结构化和视觉呈现,帮助记忆关键点。这些资料可以帮助你...
ibatis sql注入
gddghs
02-08 362
转自:http://blog.csdn.net/scorpio3k/article/details/7610973 对于ibaits参数引用可以使用#和$两种写法,其中#写法会采用预编译方式,将转义交给了数据库,不会出现注入问题;如果采用$写法,则相当于拼接字符串,会出现注入问题。 例如:1)#xxx# 代表xxx是属性值、map里面的key或者是你的pojo对象里面的属性, ib
iBatis的SQL注入问题
lc893572812的专栏
11-03 1322
sqlMap中尽量不要使用$;$使用的是Statement(拼接字符串),会出现注入问题。#使用的是PreparedStatement(类似于预编译),将转义交给了数据库,不会出现注入问题;.前者容易出现SQL注入之类的安全问题,所以ibatis推荐使用#。 1、  正确使用$示例:ORDER BY $sortFieldName$ $sortType$,当参数是数据库字段名时这样使用是合适的
org.apache.ibatis.jdbc.SQL 的使用
qq_41212530的博客
08-15 6146
http://www.mybatis.org/mybatis-3/zh/statement-builders.html
ibatis like 用法
siashuayongsheng的专栏
08-14 134
[code="java"] mysql: select * from tbl_school where school_name like concat('%',#name#,'%') oracle: select * from tbl_school where school_name like '%'||#name#||'%' sql server:se...
Beetlsql自学笔记(csdn)————程序.pdf
12-01
在项目中引入BeetlSQL的依赖,例如在Spring Boot项目中,可以添加`beetlsql-starter`、JDBC、MySQL驱动和数据库连接池Druid的相关依赖。创建好数据库表后,即可开始使用BeetlSQL进行数据操作。 通过上述介绍,我们...
java自学笔记
04-16
Java自学笔记概述 Java是一种广泛使用的面向对象的编程语言,由Sun Microsystems(现已被Oracle公司收购)于1995年发布。这份“java自学笔记”涵盖了从基础到进阶的多个Java知识点,旨在帮助初学者系统地学习并掌握...
JavaWeb自学的心得和笔记
最新发布
03-30
数据库操作是Web应用中不可或缺的部分,因此,学习JDBC(Java Database Connectivity)是必要的,包括连接数据库、执行SQL语句、处理结果集等。 最后,对于前端开发,理解HTML、CSS和JavaScript是基础,熟悉Ajax...
java_learning_by_self:java基础知识自学笔记
03-13
16. **JDBC**:学习如何连接数据库,执行SQL语句,处理结果集,了解事务管理和连接池。 17. **设计模式**:熟悉常见的设计模式,如单例、工厂、观察者、装饰者、代理、策略等,提升代码的可维护性和复用性。 以上...
ibatis like查询防sql注入
其实你很简单的专栏
05-26 816
ibatis like查询防sql注入 为了防止SQL注入,iBatis模糊查询时也要避免使用$$来进行传值。 下面是三个不同数据库的ibatis的模糊查询传值。 mysql: select * from stu where name like concat('%',#name#,'%')   oracle: select * from stu where name like '
IBatis.Net使用总结(一)-- IBatis解决SQL注入(#与$的区别)
weixin_30625691的博客
11-04 147
IBatis解决SQL注入(#与$的区别) 在IBatis中,我们使用SqlMap进行Sql查询时,需要引用参数,在参数引用中可以使用两种占位符#和$.这两种占位符有什么区别呢? (1):#***#,进行预编译,采用参数化命令方式进行处理,有效防止sql注入,可以进行类型匹配。在模糊查询的时候,使用##   (2):$***$, 不进行数据类型匹配,它只是简单的字符拼接。一般使用于非变量参数...
静态代码审计之SQL注入(java)
一杯咖啡的渗透记忆
03-29 819
三种不同框架类型的SQL JDBC--sql注入 Hibernate--sql注入 Mybatis、iBatis-- sql注入 SQL注入手工审计方法 步骤1:全局搜索“+”,找到存在+ 拼接的sql语句,查看参数是否有过滤,一般在DAO层 追溯上层函数,直到,doPost(HttpServletRequest request,HttpServletResponse response) 查看整个流程中,有没有过滤非法字符串,如果没有,则存在sql注入 找到..
SQL注入
洛尘的博客
07-29 115
目录 前言 一、SQL注入是什么? 二、形式 前言 SQL注入SQL注入解决 一、SQL注入是什么? SQL 注入就是在用户输入的字符串中加入 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或访问未被授权的数据。 * 用户名:fdsa * 密码:fdsa 'or'1'='1 * 登录成功...
5、sql注入
酸奶牛的博客
05-11 136
用户名:qwer 密码:fdsa’or’1’='1 登录成功! SQL注入原因? 用户输入的信息中含有sql语句的关键字,【并且】这些关键字参与sql语句的编译过程。导致sql语句的原意被扭曲,进而达到sql注入 怎么解决SQl注入问题? 使用java.sql.PreparedStatement,该接口继承了java.sql.Statement接口。即使用户提供的信息含有sql语句关键字,但是没有参与编译,不起作用 PreparedStatement属于预编译的数据库操作对象。 Prepared
JDBCsql注入问题详解
qq_43182594的博客
09-08 139
package com.oracle.jdbc; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; import org.junit.Test; import com.oracle.utils.Utils; publ...
JDBC模糊查询参数的注入的注意点
weixin_33834075的博客
12-11 129
笔者刚开始是这样写sql语句的String sql="SELECT * FROM bookBasicInfo,bookTypeInfo WHERE bookBasicInfo.BelongType=bookTypeInfo.BookTypeID AND bookBasicInfo.bookName like %?%";采用参数注入ps.setString(1, bookN...
JDBC的复习(三):Sql注入问题和解决
BKSW.的博客
03-01 367
JDBC的复习(三):Sql注入问题和解决 Sql注入问题 用户名: dasa 密码: dasa' or '1' = '1 登陆成功! 根本原因: 用户输入的信息中含有sql语句的关键字,并且这些关键字参与了sql语句的编译过程,导致原来的sql语句意思被扭曲,进而达到sql注入解决Sql注入 只要用户提供的信息不参与SQl的编译过程,就可以解决该问题 即使用户输入的语句中含有SQL语句的关键字,到那时没有参与编译,不起作用。 使用PrePareStatement进行sql语句框架的预编译。
JDBC编程——SQL注入问题以及解决方案
Best_Basic的博客
09-05 961
SQL注入即是指应用程序对用户输入数据的合法性没有判断或过滤不严,一些非法攻击者可以在应用程序中事先定义好的查询语句的结尾上添加额外的,导致在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 解决SQL注入问题的方案: 只要用户提供的信息不参与sql语句的编译过程,问题就解决了。 即使用户提供的信息中含有sql语句的关键字,但是没有参与编译,仍然不起作用 。
Sql Server 2008连接JDBC步骤
05-26
在连接Sql Server 2008与JDBC的过程中,首先需要注意Sql Server 2008的身份验证方式。默认情况下,Sql Server 2008使用的是“Windows身份验证”,这种验证方式不需要用户名和密码。然而,在JDBC连接中并不支持这种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值