12.SQL注入、PreparedStatement对象解决SQL注入

最新推荐文章于 2022-11-23 16:16:36 发布
最新推荐文章于 2022-11-23 16:16:36 发布
阅读量765 收藏
点赞数
分类专栏: MySQL学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46048220/article/details/122298919
版权

sql 数据库 database

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

1.代码:

public class JdbcUtils {
    private static final String DRIVER="com.mysql.jdbc.Driver";
    private static final String URL="jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8";
    private static final String USERNAME="root";
    private static final String PASSWORD="root";
    public static Connection getConn(){
        Connection conn=null;
        try {
            Class.forName(DRIVER);
            conn= DriverManager.getConnection(URL,USERNAME,PASSWORD);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return conn;
    }
    public static void closeAll(Connection conn, Statement st, ResultSet rs) throws SQLException {
        if (rs!=null){
            rs.close();
        }
        if (st!=null){
            st.close();
        }
        if (conn!=null){
            conn.close();
        }
    }
}

public class SqlInject {
    public static void main(String[] args) throws SQLException {
        login("zhangsan","123456");
    }
    // 登录业务
    public static void login(String username,String pwd) throws SQLException {
        Connection conn=null;
        Statement st=null;
        ResultSet rs=null;
        try {
            conn = JdbcUtils.getConn();
            st = conn.createStatement();

            //SQL
            String sql="select * from users where `NAME`='"+username+"' AND `password`='"+pwd+"'";
            st.executeQuery(sql);       //查询
            //查询完毕返回结果集
            rs = st.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
            }
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.closeAll(conn,st,rs);
        }
    }
}

成功:
在这里插入图片描述
SQL注入:

//SQL注入
login(" 'or '1=1"," 'or '1=1");

全部用户的名称和密码都输出了:
在这里插入图片描述原因:
将代码完整拼接:

SELECT * FROM users WHERE `NAME` = '' or 1=1 AND `password`='' or 1=1

name,password等于空,或者1=1,因为1=1恒为true,所以name和password为true,因此SQL语句能够成功执行

2.解决SQL注入:preparedStatement对象

PreparedStatement防止SQL注入的本质:把传递进来的参数当做字符,假设其中存在转义字符,会被直接转义
(一)、新增

public class PreparedStatementInsert {
    public static void main(String[] args) throws SQLException {
        Connection conn=null;
        PreparedStatement st=null;
        try {
            conn = JdbcUtils.getConn();
            //区别:
            //1.使用占位符"?"代替参数
            String sql = "INSERT INTO users(id,`NAME`,`PASSWORD`,`email`,`birthday`) VALUES(?,?,?,?,?)";
            //2.没有createStatement,直接prepareStatement
            //预编译SQL,先写SQL,但是不执行
            st = conn.prepareStatement(sql);
            //手动给参数赋值
            st.setInt(1,4);             //st.setInt(parameterIndex,int x);
            st.setString(2,"giaogiao"); //st.setString(parameterIndex,String x);
            st.setString(3,"332786");
            st.setString(4,"823659823@qq.com");
            //sql.Date  数据库   java.sql.Date()
            //util.Date Java    new java.util.Date().getTime() 获得时间戳
            st.setDate(5,new java.sql.Date(new java.util.Date().getTime()));

            //执行
            //3.statement:executeUpdate(sql);prepareStatement:预编译,设置参数,直接调用执行方法
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("插入成功");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.closeAll(conn,st,null);
        }
    }
}

(二)、删除

public class PreparedStatementDelete {
    public static void main(String[] args) throws SQLException {
        Connection conn=null;
        PreparedStatement st=null;
        try {
            conn = JdbcUtils.getConn();
            String sql = "delete from  users where id=?";
            st = conn.prepareStatement(sql);
            st.setInt(1,4);
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("删除成功");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.closeAll(conn,st,null);
        }
    }
}

(三)、更新

public class PreparedStatementUpdate {
    public static void main(String[] args) throws SQLException {
        Connection conn=null;
        PreparedStatement st=null;
        try {
            conn = JdbcUtils.getConn();
            String sql = "update users set name = ? where id = ?;";
            st = conn.prepareStatement(sql);
            st.setString(1,"giao1");
            st.setInt(2,6);
            int i = st.executeUpdate();
            if (i>0){
                System.out.println("更新成功");
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.closeAll(conn,st,null);
        }
    }
}

(四)、查询

public class PreparedStatementSelect {
    public static void main(String[] args) throws SQLException {
        Connection conn=null;
        PreparedStatement st;
        st = null;
        ResultSet rs=null;
        try {
            conn = JdbcUtils.getConn();
            //编写sql
            String sql="select * from users where id = ?";
            //预编译
            st=conn.prepareStatement(sql);
            //传递参数
            st.setInt(1,1);
            //执行
            rs = st.executeQuery();
            while (rs.next()){
                System.out.println(rs.getString("name"));
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.closeAll(conn,st,rs);
        }
    }
}

(五)、防止SQL注入

public class KillSqlInject {
    public static void main(String[] args) throws SQLException {
        //正常登录
//        login("zhangsan","123456");
        //SQL注入
        login(" 'or '1=1"," 'or '1=1");		//不会输出
    }
    // 登录业务
    public static void login(String username,String pwd) throws SQLException {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            //获取数据库连接
            conn= JdbcUtils.getConn();
            //获得SQL执行对象
            String sql= "select * from users where  `name`=? and `password`=?;";
            st=conn.prepareStatement(sql);
            st.setString(1,username);
            st.setString(2,pwd);

            rs=st.executeQuery();
            while (rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }finally {
            JdbcUtils.closeAll(conn,st,rs);
        }
    }
}
肿么啦!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入原理与解决方法代码示例
09-09
2. 解决SQL注入的方法: - **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入。预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: `...
sql注入解决方法.doc
最新发布
12-29
SQL注入是一种严重的网络安全问题,它发生在Web应用程序未能正确过滤或验证用户输入,导致攻击者能够注入恶意的SQL代码,从而获取未经授权的数据库访问权限。这种攻击通常发生在应用程序将用户提供的数据直接拼接到...
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8294
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
7. 使用 preparedStatement 解决 SQL 注入问题
DevOps海洋的渔夫@专栏
06-02 2943
7. 使用 preparedStatement 解决 SQL 注入问题前言在上一章节中,我们使用 statement 执行 sql 完成了用户登录的小案例,但是在这个案例中也发现了 SQL...
PreparedStatement对象解决SQL注入问题----个人学习记录
m0_59771750的博客
09-29 1435
PreparedStatement对象解决sql注入问题
java 禁止执行删除sql,使用PreparedStatement执行sql增、删、改、查语句
weixin_36190910的博客
03-14 541
Statement与PreparedStatement的区别:1. PreparedStatement可以写动态参数化的查询用PreparedStatement你可以写带参数的sql查询语句,通过使用相同的sql语句和不同的参数值来做查询比创建一个不同的查询语句要好2. PreparedStatementStatement 更快PreparedStatement用来执行SQL语句查询的时候。数...
接口 PreparedStatement execute() executeQuery() executeUpdate() 以及SQL注入
Hurricane_m的博客
05-17 6721
execute boolean execute() throws SQLException 在此 PreparedStatement 对象中执行 SQL 语句,该语句可以是任何种类的 SQL 语句。一些预处理过的语句返回多个结果,execute 方法处理这些复杂的语句,executeQuery 和 executeUpdate 处理形式更简单的语句。 exec...
SQL防注入.rar
04-05
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能充分验证或过滤用户输入的数据时,攻击者可以利用这种漏洞执行恶意的SQL语句,获取、修改、删除数据库中的敏感信息,甚至完全控制数据库服务器。针对这一问题...
SQL注入漏洞过程实例及解决方案
12-14
推荐使用预编译的`PreparedStatement`,它可以有效防止SQL注入。在`login1`方法中,我们看到了正确的处理方式: ```java String sql="SELECT * FROM user WHERE username=? AND password=?"; PreparedStatement ...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
MySQLSQL注入解决
weixin_47543906的博客
11-23 910
Statement的子接口PreparedStatement PreparedStatement预编译执行者对象 预编译:SQL语句在执行前就已经编译好了,执行速度更快。 安全性更高:没有字符串拼接的SQL语句,所以避免SQL注入的问题 代码的可读性更好,因为没有字符串拼接
SQL注入
不动声色的小蜗牛的博客
05-23 166
当你连接MySQL数据库时就有可能出现SQL注入的现象,从而威胁到数据库的安全: 所谓SQL注入就是sql语句中含有一些错误的命令(改变了原有sql语句的含义),从而达到蒙混过关的效果,威胁数据库的安全。 我们来看一个例子就明白了: 先在Navicat Premium中创建一个表: 来演示一下SQL注入: public class Test { /** * 先定义一个update方法用来增添、删除、修改用户信息 * @param sql 要执行的sql语句 * 执行成功,输出Yes;执行失
PreparedStatement 模拟并解决sql注入
cgj-horizons
08-01 409
1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)sql注入通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法。PrepareStatement对象setXXX(参数1,参数2)给?通过Connection对象获取,并传入对象sql语句。如setInt(参数1,参数2)3如果sql模板一样,则只需进行一次检查,,编译。预编译sql语句执行预防sql注入问题。Sql语句中的参数,使用?...
第25章 JDBC核心技术第3节
孔繁玉的专栏
03-26 369
第3节:实现CRUD操作 3.1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatementSQL 语句被预编...
PreparedStatement解决sql注入问题
程宇寒
12-27 2319
转载自PreparedStatement解决sql注入问题解决sql注入的问题 PreparedStatement解决sql注入问题 总结 PreparedStatement解决sql注入问题 :sql中使用?做占位符 2.得到PreparedStatement对象 PreparedStatement pst=conn.prepareStatement(String sql); pst.setS
jdbc的增删改查
ne_123456的博客
05-19 1228
1.查询数据库表中记录。 @Test //理解为main函数。可以独立运行。 public void testQuery() throws Exception { //抛出异常只是为了操作方便。真正在开发时应该try--catch Class.forName("com.mysql.cj.jdbc.Driver"); Connection conn = DriverManager.getConnection ("jdbc:mysql://localhost:3306/mydb?serv
PreparedStatement是如何防止SQL注入
纸上得来终觉浅,绝知此事要躬行
08-03 5869
SQL注入最简单也是最常见的例子就是用户登陆这一模块,如果用户对SQL有一定的了解,同时系统并没有做防止SQL注入处理,用户可以在输入的时候加上’两个冒号作为特殊字符,这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,造成不可估量的损失。 在JDBC中通常会使用PreparedStatement来代替Statement来处理sql语句,如 String
java.sql.PreparedStatement;
06-09
java.sql.PreparedStatement 是 Java JDBC API 的一个接口,它是 Statement 的子接口,用于执行参数化的 SQL 语句。相对于 Statement,PreparedStatement 可以更好地处理参数化的 SQL 语句,能够防止 SQL 注入等安全问题,并且更高效地执行重复的 SQL 语句。 PreparedStatement 接口提供了一些方法,用于设置参数并执行 SQL 语句,例如 setString()、setInt() 等方法用于设置参数值,execute()、executeQuery()、executeUpdate() 等方法用于执行 SQL 语句。PreparedStatement 对象的创建需要通过 Connection 的 prepareStatement() 方法获取。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值