JDBC:使用Statement操作数据库时产生的SQL注入问题原因分析

最新推荐文章于 2023-10-01 18:09:10 发布
最新推荐文章于 2023-10-01 18:09:10 发布
阅读量581 收藏
点赞数
分类专栏: java_web 文章标签: jdbc sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45873215/article/details/111299008
版权
本文探讨了JDBC中使用Statement进行数据库操作时如何引发SQL注入问题,通过示例展示了注入过程。同时,文章指出使用PreparedStatement可以有效避免此类问题,因为其预编译特性和参数绑定能防止字符串拼接导致的安全风险。作者提供了建表和测试代码,以帮助理解两种方法的差异。
摘要由CSDN通过智能技术生成

SQL注入问题简单介绍
1.JDBC中使用Stement对数据库增删改查,
执行sql语句时使用拼接字符串会导致SQL注入
2.JDBC中使用PreaparedStement可以有效避免SQL注入问题

**
原因分析: 任意值’第一个引号与拼接字符串name匹配后,1=1恒成立,–将后面的密码pwd已经注释掉了,所以输入任意值都可以成功登录**

Statement:
例如输入:用户名: 任意值’ or 1=1 –
密码:任意值
原sql语句:select * from login where l_name=’"+name+"’ and l_pwd=’"+pwd+"’;
sql注入后:select * from login where l_name=’"+任意值’ or 1=1 --(1=1恒成立,后面的sql语句已经被注释)
+"’ and l_pwd=’"+任意值+"’;

PStatement:
因为其sql语句可以用占位符?且用setXXX()为其赋值,可以避免字符串拼接,以此来防止sql注入

应用实例:创建一个login数据表且设置好其用户名与密码,然后使用jdbc连接该数据库,其中登录数据库的账号和密码在java控制台中由键盘输入。

建表语句(本人使用的数据库是mysql数据库)

create datebase basketball;
use basketball;
create table login(
	l_id int not null primary key,
	l_name varchar(10) not null,
	l_pwd varchar(5) not null
)
insert into login values(1,"zs","abc");
select * from login;

最低0.47元/天 解锁文章
_小尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
03. jdbc Statement sql注入风险
Java 程序源
08-27 460
1. Statement 用法 Statement 用法比较简单, 不需要设置参数. 创建了Statment对象之后, 直接执行sql即可. 执行步骤可总结如下: 获取数据库连接 创建Statment对象 执行sql 增删改: 执行executeUpdate(sql)方法, 返回sql影响的行数 查询: 执行executeQuery(sql)方法, 返回查询结果ResultSet, 然后解析结...
JDBCStatement接口的用法中需要注意sql注入问题使用PreparedStatement的基本用法
weixin_44007988的博客
10-05 155
JDBCStatement接口的用法中需要注意sql注入问题Statement接口中字符串只能以拼接的形式进行传递 package cn.com.jdbc; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; ...
JDBC连接如何防止SQL注入
lucyLee的博客
10-07 5021
1. 绪言 想要学习mybatis的相关知识,学习之前复习了下JDBC的相关知识 发现自己竟然连如何实现JDBC连接都不知道了,真的是少壮用CV(粘贴复制),老大徒伤悲???? 总结一下,JDBC连接分为三步: 加载JDBC驱动 创建数据库连接 操作数据库实现增删改查:获取statement,执行SQL语句,处理执行结果 简单的连接和查询示例如下: import java.sql.*; public class Test { private static final String DR
Java JDBC 使用Statement 产生sql注入问题
BLWY_1124的博客
05-18 772
#Java JDBC 使用Statement 产生sql注入问题 Statement 对象用于执行静态SQL语句并返回其生成的结果对象 Statement 对象执行SQL语句,存在SQL注入风险 代码演示: 先创建一张表 -- 演示 sql 注入 -- 创建一张表 CREATE TABLE admin ( -- 管理员表 NAME VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '') CHARACTER S
Java代码审计之SQL注入
tpaer的博客
12-05 2384
复现了Java中JDBC及Mybatis框架采用预编译和非预编译可能存在SQL注入的几种情况,并给予修复建议。
【大数据系列之JDBC】(四):Statement存在SQL注入问题
CSDN 精品推荐
12-22 301
但是使用Statement会存在SQL注入问题SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。正常来将要用户名和密码全部匹配成功才可查询到,但是经过SQL注入后,上面的SQL后面会多一个。
JDBC使用Statement修改数据库
08-27
* SQL injection:使用 Statement 对象需要注意 SQL 注入攻击,避免使用用户输入的数据作为 SQL 语句的一部分。 * 资源释放:使用完毕后需要关闭 Statement 对象和 Connection 对象以释放资源。 示例代码 以下是...
JDBC:使用SQL请求从数据库创建排序列表
03-08
`PreparedStatement`更安全,因为它可以防止SQL注入。这里以`Statement`为例: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM employees ORDER BY salary ...
实验3 JDBC操作数据库3
08-08
`PreparedStatement`是比`Statement`更安全和高效的方式,它可以防止SQL注入攻击,通常用于执行预编译的SQL语句。 7. **数据库工具类DBUtil**:在实际开发中,通常会封装一个DBUtil工具类,用于管理和关闭数据库...
Java使用Statement接口执行SQL语句操作实例分析
08-27
需要注意的是,Statement接口虽然简单易用,但它不支持预编译的SQL语句,因此容易受到SQL注入攻击。在处理用户输入,推荐使用PreparedStatement接口,它可以提高安全性并提供更好的性能。 总结起来,Java中的...
Java中使用JDBC操作数据库简单实例
09-03
在Java编程中,Java Database Connectivity (JDBC) 是一个用于规范应用程序如何访问和...请注意,实际开发中应考虑异常处理和资源管理的最佳实践,例如使用PreparedStatement以防止SQL注入,并使用连接池来优化性能。
JAVA代码审计之SQL注入,基于Spring boot和jdbc以及mybatis
GXcodes的博客
08-02 3014
本节讲述JavaWeb代码审计中存在SQL注入漏洞的情况。基于spring boot,mysql,两种连接方式:jdbc和mybatis。代码比较多,适合自己创建项目,跟着走一遍,如果只想了解原理,可以忽略代码,只看大概即可。比如Controller类或者sql语句的编写。SQL注入漏洞是对数据库进行的一种攻击方式。其主要形成方式是在数据交互中,前端数据通过后台在对数据库进行操作,由于没有做好安全防护,导致攻击者将恶意代码拼接到请求参数中,被当做SQL语句的一部分进行执行,最终导致数据库被攻击。
Statement和PreparedStatementSQL注入问题
while(true){ study }
07-14 841
用于执行静态SQL语句并返回其生成的结果的对象。也就是说它是帮我们执行SQL语句,并且返回一个结果,就是干这个事情。我们在连接建立以后,需要对数据库进行访问,执行命令或者是SQL语句,可以通过StatementStatement是最先前出现的一种,后面发现Statement有些问题,就出现了PreparedStatement,这叫做预处理。Statement存在SQL注入问题。CallableStatement可以用来调存储过程。...
【Java 进阶篇】JDBC Statement:执行 SQL 语句的重要接口
最新发布
繁依Fanyi的博客
10-01 6079
Statement接口是JDBC的一部分,它允许我们向数据库发送SQL查询和更新语句,并从数据库中获取结果。StatementStatement:用于执行普通的SQL语句,不带有参数。:用于执行预编译的SQL语句,可以带有参数,防止SQL注入攻击。:用于执行数据库存储过程。在本文中,我们将主要关注Statement接口及其用法。Statement接口是JDBC中执行SQL语句的关键接口之一。通过创建Statement对象,我们可以执行查询和更新等各种数据库操作
【Java】- Incompatible types. Found: java. lang. String', required:' byte, char, short or int'
热门推荐
Arielle-L
12-11 2万+
IDEA项目编译报错:Incompatible types. Found: java. lang. String’, required:’ byte, char, short or int’,switch语句,提示编译失败,类型错误,不支持字符串类型; 错误原因: java的语言级别没有设置好导致问题,也就是说JDK版本不兼容 解决方案: 首先确认电脑安装JDK版本,jdk1.7之前的版本...
Incompatible types. Found: ‘java.lang.Class<MethodArgumentNotValidException>‘, required: ‘java.lang.
weixin_52517502的博客
05-11 2480
idea报Incompatible types. Found: 'java.lang.Class<MethodArgumentNotValidException>', required: 'java.lang.错。网上查询说是1、idea版本设置不对;2、maven引入版本不一致;最后退出idea,重进,报错解决。
【略有料】Statement和PreparedStatement的区别; 什么是SQL注入,怎么防止SQL注入
daobuxinzi的博客
10-18 261
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。那么CallableStatement扩展了PreparedStatement的接口,用来调用存储过程,它提供了对于输入和输出参数的支持,CallableStatement 接口还有对 PreparedStatement 接口提供的输入参数的sql查询的支持。问题三:Spring中的事务是如何配置的?
java_web:jsp页面运行出现404错误的原因
weixin_45873215的博客
12-13 6666
其实找不到jsp页面(出现404错误)的原因很简单,只需将jsp文件放到webapp目录下即可,若放到其子目录(如:WEB-INF或META-INF)则会出现404错误 如图:这是将jsp页面放在webapp目录下可以正常运行的情况 如图:这是未将jsp页面放在webapp目录出现404错误的情况 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值