PreparedStatement是如何防止SQL注入的?

最新推荐文章于 2023-09-15 11:08:19 发布
最新推荐文章于 2023-09-15 11:08:19 发布
阅读量257 收藏 1
点赞数
分类专栏: 自学Java 文章标签: SQL注入 PreparedStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45778035/article/details/103401668
版权

PreparedStatement是如何防止SQL注入的?

 

1 什么是SQL注入?

Statement statement = connection.createStatement();
String user = "1' OR ";
String password = "='1' OR '1' = '1";
//使用Statement,SQL语句使用字符串拼接
String sql = "SELECT user,password FROM user_table WHERE USER = '" + userName + "' AND PASSWORD = '" + password+ "'";
statement.execute(sql);

在MySQL的日志文件中

#条件出现  '1'='1'  恒成立,出现bug
SELECT USER,PASSWORD FROM user_table WHERE USER = '1' OR ' AND PASSWORD = '='1' OR '1' = '1';

以上出现的情况被认为是SQL注入

 

 

2 PreparedStatement可以解决SQL注入问题

 

2.1 PreparedStatement的使用

  • 举例如下:
// '?'为通配符,需要填充
String sql = "SELECT user,password FROM user_table WHERE USER = ? AND PASSWORD = ?"
PreparedStatement ps = connection.prepareStatement(sql);
//填充占位符,其中args为占位符('?')的填充内容,填充从1开始
for(int i = 0;i < args.length;i++){
	ps.setObject(i + 1, args[i]);
}
ps.excute();

 

2.2 PreparedStatement是如何解决SQL注入问题的?

  • 我们在使用Connection获取PreparedStatement对象时,会把SQL语句作为参数传入,此时,SQL语句会在PreparedStatement对象初始化的时候进行一次预编译。在内存中执行如下:

com.mysql.jdbc.JDBC42PreparedStatement@b1a58a3: SELECT user,password FROM user_table WHERE USER = ** AND PASSWORD = **

 

  • 当我们对占位符进行填充的时候就是替换上面的’**’,而当出现字符时系统会在内存中自动进行转译,结果如下:

com.mysql.jdbc.JDBC42PreparedStatement@b1a58a3: SELECT USER,PASSWORD FROM user_table WHERE USER = ‘1\’ OR ’ AND PASSWORD = '=\‘1\’ OR \‘1\’ = \‘1’;

 
实际在MySQL中执行的是

SELECT USER,PASSWORD FROM user_table WHERE USER = "1' OR " AND PASSWORD = "='1' OR '1' = '1";

不会对SQL语句修改。

 

3 总结

PreparedStatement能够防止SQL注入的主要原因是能够实现预编译,在对占位符进行填充的时候会对符号进行转译处理。所以,平常我们最好是别使用Statement,使用PreparedStatement进行替换。

 
 

参考:栖息之鹰-PreparedStatement是如何防止SQL注入的?

以上内容纯手打,码字不易,如需转载请声明出处,谢谢!
作者:LouisHaoL

LouisHaoL
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止SQL注入 — PreparedStatement
Daria
05-20 194
Background: Statement不能防止SQL注入, PreparedStatement能够防止SQL注入 如何理解 prepared statements 使用预编译语句是预SQL注入的最佳方式 使用预编译语句Statement和PreparedStatment sql预编译 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,...
SQL注入与PreparedStatement
PPDY93的博客
07-30 179
文章目录一.Sql注入二.Statement三.Preparestment四.statement 和 preparedStatement 优缺点 一.Sql注入 利用Statement写一个用户登录,执行的sql将会是: 用户输入用户名:admin 用户输入密码: 123456 后台程序执行 select * from users where uname = ‘admin’ and pwd = ‘123456’ 如果改为如下输入信息 用户输入用户名:’ or 1=1 or ’ 用户输入密码: 12
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 680
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
【运维】PreparedStatement防止SQL注入
最新发布
weixin_37543485的博客
09-15 497
参数化查询是编写安全数据库代码的最佳实践之一。
使用PreparedStatement避免sql注入
qq_40327787的博客
06-07 1233
此时#后面的就变成了注释,而select查询时,判断的是哪条语句能使where后面为真,当输入or 1=1 时候,后面就永远为真,所有语句都会存入resultSet中,这时候就会有人说可以将判断设置成resultSet = 1;这里产生这种情况的原因是,我们在定义sql语句时,是把我们输入的部分聚合成字符串,再去执行语句,当时输入的部分内容有关键字时,他并不会做特殊处理,只会一股脑执行。当我们输入 dqwdqw’ or 1 = 1;但我们输入如下代码,就会提示登录成功。当我们随便输入时,会提示登录失败!
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2595
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
PreparedStatement是如何避免SQL注入的?
ly0712__的博客
08-24 291
preparement避免sql注入
如何防止sql注入
12-14
使用PreparedStatement防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不会导致SQL语句的...
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
mybatis防止SQL注入的方法实例详解
08-27
预编译语句是防止 SQL 注入的第一种方式。预编译语句在执行时会把 SQL 语句事先编译好,这样当执行时仅仅需要用传入的参数替换掉?占位符即可。例如: ```java Connection conn = getConn();//获得连接 String sql ...
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
PreparedStatement防止SQL注入
qq_42732184的博客
04-19 1562
添加数据: package com.hyc.study03; import com.hyc.study02.utils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException; public class TestInsert { public stat
Java中PreparedStatement执行SQL防止SQL注入实现
weixin_42151066的博客
03-04 260
Java中PreparedStatement执行SQL防止SQL注入实现
预处理prepareStatement是怎么防止sql注入漏洞的?
11-12 672
序,目前在对数据库进行操作之前,使用prepareStatement预编译,然后再根据通配符进行数据填值,是比较常见的做法,好处是提高执行效率,而且保证排除SQL注入漏洞。 一、prepareStatement的预编译和防止SQL注入功能 大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预SQL注入...
通过PreparedStatementSQL注入
jakelihua
11-25 619
简介:本文只讲PreparedStatementSQL注入的写法,大家学会就好。..
以mysql为例介绍PreparedStatement防止sql注入原理
lisehouniao的博客
05-28 9786
最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧! 作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶意的sql语句用
java-jdbc7:PreparedStatement防止sql注入
qq_60495979的博客
12-06 213
/* 1.登录sql注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题 用户名随意输入:qwerasdc,密码输入a' or 'a' = 'a 此时的sql为:"select * from user where username = '"+username+"' and password = '"+password+"' " select * from user where username ='qwerasdc' and
IDEA中的单元测试模块(Junit)不能自动导包
weixin_45778035的博客
11-11 5040
IDEA中的单元测试模块(Junit)不能自动导包?问题描述:解决方法: 问题描述: 在Java学习中,JUnit模块可以说是比不可少的,IDEA经常出现不能自动导入JUnit4的情况,经过多次尝试,总结了一点使用经验,在这里分享一下。还有换电脑时,把项目(Project)复制到其他电脑上,已有的模块经常不能自动导入JUnit。会出现如下情况(这里以2017.3.1为例): 我们可以看到,即...
原生JDBC如何防止SQL注入
07-08
原生JDBC中可以通过使用参数化查询来防止SQL注入攻击。SQL注入是一种攻击方式,通过在用户输入中插入恶意的SQL代码,从而破坏数据库的完整性和安全性。 使用参数化查询可以将用户输入的值作为参数传递给SQL语句,而不是将其直接拼接到SQL语句中。这样可以确保输入的值被视为数据而不是可执行的SQL代码。下面是一个示例: ```java String username = request.getParameter("username"); String password = request.getParameter("password"); String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, username); statement.setString(2, password); ResultSet resultSet = statement.executeQuery(); // 处理查询结果 ``` 在上面的示例中,我们使用了`PreparedStatement`来创建一个带有占位符的SQL语句。然后,我们使用`setString`方法将参数值设置到对应的占位符位置。这样,即使用户输入中包含了恶意的SQL代码,也会被视为普通字符串,不会对数据库造成任何影响。 通过使用参数化查询,我们可以有效地防止SQL注入攻击,提高数据库的安全性。需要注意的是,在任何情况下都不应该信任和直接使用用户输入的数据,而应该对其进行适当的验证和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值