Java操作数据库(二,SQL注入与PreparedStatement)

最新推荐文章于 2024-07-10 21:58:42 发布
最新推荐文章于 2024-07-10 21:58:42 发布
阅读量3.5k 收藏 18
点赞数 10
分类专栏: JDBC 数据库 Java 文章标签: java 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47514459/article/details/121755495
版权
Java 同时被 3 个专栏收录
76 篇文章 1 订阅
订阅专栏
数据库
14 篇文章 1 订阅
订阅专栏
JDBC
5 篇文章 1 订阅
订阅专栏

JDBC入门https://blog.csdn.net/weixin_47514459/article/details/121719450

小编相信,通过对上文的阅读,让各位对jdbc(Java对数据库的操作)已经有一定的认识,下面我们就来看看SQL注入的问题与PreparedStatement(对数据库的增删查改)的内容吧!

目录

SQL注入

 模拟用户登录(来方便观看现象)

创建表存储用户

创建登录类

 sql注入

导致sql注入的根本原因:

根本原因:用户提供信息参与了sql语句的编译。

主要因素:程序先进行sql语句的拼接,在进行sql语句的编译,再进行注入

解决sql注入方法

Statement 

PreparedStatement (预编译数据库操作对象)

PreparedStatement的使用(先进行编译,再进行传值,关键字不进行编译了)

修改后全部代码

Statement 与PreparedStatement的比较

Statement(使用,与使用场景)

PreparedStatement(使用与使用场景)

SQL注入

 模拟用户登录(来方便观看现象)

创建表存储用户

CREATE TABLE  t_user( id int primary key auto_increment comment '用户主键',
		user_name varchar(20) not null unique comment '用户名称', 
		user_pwd varchar(20) ,
        real_name varchar(255)
		);
INSERT INTO t_shuihuo VALUES(null,"admin","root","管理员");
INSERT INTO t_shuihuo VALUES(null,"zhangsan","123456","管理员");

创建登录类

public class Jdbc_login {
    public static void main(String[]args){
        //初始化界面,返回用户名与密码
        Map<String ,String> userLogin = initUI();

        //验证用户名与密码
        Boolean ok = checkNameAndPwd(userLogin.get("user_name"),userLogin.get("user_pwd"));

        System.out.println(ok ? "登录成功" : "登陆失败");

    }
}

实现类中方法

 //初始界面,获取用户名和密码
    public static Map<String,String> initUI(){
        //存储输入账户,密码
        Map<String,String> map = new HashMap<>();
        System.out.println("***************欢迎登录****************");

        //获取输入输出
        Scanner scanner = new Scanner(System.in);
        System.out.print("用户名:");
        //nextLine接收是接收一行
        String user_name = scanner.nextLine();
        System.out.print("密码: ");
        String user_pwd = scanner.nextLine();

        //将获取的账户密码,输入到集合中
        map.put("user_name",user_name);
        map.put("user_pwd",user_pwd);

        //返回集合
        return map;
    }

    //生成用户名与密码检测方法
    private static Boolean checkNameAndPwd(String user_name, String user_pwd) {
        boolean ok = false;//判断登录是否正确

        Connection conn = null;
        Statement stat = null;
        ResultSet res = null;

        try {
            //1,创建驱动
            Class.forName("com.mysql.jdbc.Driver");

            //2,链接数据库
            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3333/db_mingzhu?charset=utf-8","root","root");

            //3,获取数据库对象
            stat = conn.createStatement();

            //4,执行sql语句
            String sql = "select * from t_user where user_name = '"+user_name+"' and user_pwd = '"+user_pwd+"'";
            System.out.println(sql);
            res = stat.executeQuery(sql);

            //5,处理查询结果集(判断数据库释放)
            if (res.next()){
                ok = true;
            }


        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            //6,释放资源
            if ( res != null ){
                try {
                    res.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (stat != null){
                try {
                    stat.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (conn != null){
                try {
                    conn.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }
        return ok;
    }

完整的代码(我懂你的,如果想自己测试,记得修改数据库接口与数据库名称)

package com.luosf.jdbc;

import com.sun.jmx.snmp.SnmpNull;

import java.awt.*;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

public class Jdbc_login {
    public static void main(String[]args){
        //初始化界面,返回用户名与密码
        Map<String ,String> userLogin = initUI();

        //验证用户名与密码
        Boolean ok = checkNameAndPwd(userLogin.get("user_name"),userLogin.get("user_pwd"));

        System.out.println(ok ? "登录成功" : "登陆失败");

    }



    //初始界面,获取用户名和密码
    public static Map<String,String> initUI(){
        //存储输入账户,密码
        Map<String,String> map = new HashMap<>();
        System.out.println("***************欢迎登录****************");

        //获取输入输出
        Scanner scanner = new Scanner(System.in);
        System.out.print("用户名:");
        //nextLine接收是接收一行
        String user_name = scanner.nextLine();
        System.out.print("密码: ");
        String user_pwd = scanner.nextLine();

        //将获取的账户密码,输入到集合中
        map.put("user_name",user_name);
        map.put("user_pwd",user_pwd);

        //返回集合
        return map;
    }

    //生成用户名与密码检测方法
    private static Boolean checkNameAndPwd(String user_name, String user_pwd) {
        boolean ok = false;//判断登录是否正确

        Connection conn = null;
        Statement stat = null;
        ResultSet res = null;

        try {
            //1,创建驱动
            Class.forName("com.mysql.jdbc.Driver");

            //2,链接数据库
            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3333/db_mingzhu?charset=utf-8","root","root");

            //3,获取数据库对象
            stat = conn.createStatement();

            //4,执行sql语句
            String sql = "select * from t_user where user_name = '"+user_name+"' and user_pwd = '"+user_pwd+"'";
            System.out.println(sql);
            //程序执行到这,才会将sql语句编译发送给DBMS,DBMS才进行编译
            res = stat.executeQuery(sql);

            //5,处理查询结果集(判断数据库释放)
            if (res.next()){
                ok = true;
            }


        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            //6,释放资源
            if ( res != null ){
                try {
                    res.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (stat != null){
                try {
                    stat.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (conn != null){
                try {
                    conn.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }
        return ok;
    }
}

现象

 sql注入

当我们随便输入一个用户名和密码时(让sql语句恒成立)

 发现登录成功了(这种现象称为sql注入)

导致sql注入的根本原因:

当用户输入的信息中含有sql的关键字,在字符串的拼接过程中导致sql语句发生了变化(sql语句恒成立)。

根本原因:用户提供信息参与了sql语句的编译。

主要因素:程序先进行sql语句的拼接,在进行sql语句的编译,再进行注入

解决sql注入方法

Statement 

在Java.sql.statement接口中:先进行字符串的拼接,在进行sql语句的编译

优点:Statement 可以进行sql语句的拼接。

缺点:因为拼接存在,存在sql注入

PreparedStatement (预编译数据库操作对象)

在Java.sql.PreparedStatement 接口中:先进行sql语句的编译,然后在进行sql语句的传值。

优点:避免了sql注入

缺点:不能进行sql的拼接只能传值。

在PreparedStatement的sql语句中一个?表示一个占位符,一个占位符只能接受一个值(如下)

 String sql = "select * from t_user where user_name = ? and user_pwd = ? ";

PreparedStatement的使用(先进行编译,再进行传值,关键字不进行编译了

             PreparedStatement stat = null;  
            //3,获取预编译数据库操作对象
            String sql = "select * from t_user where user_name = ? and user_pwd = ? ";

            //此时发送sql语句给DBMS,进行sql语句的编译
            stat = conn.prepareStatement(sql);

            //给占位符传值
            //JDBC下标从1开始的
            stat.setString(1,user_name); //1,代表第一个问号
            stat.setString(2,user_pwd);  //2,代表第二个问号

            System.out.println(sql);
            //程序执行到这,才会将sql语句编译发送给DBMS,DBMS才进行编译
            res = stat.executeQuery(); //不用在进行sqld的传入了

修改后全部代码

package com.luosf.jdbc;

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

public class Jdbc_sql {
    public static void main(String[]args){
        //初始化界面,返回用户名与密码
        Map<String ,String> userLogin = initUI();

        //验证用户名与密码
        Boolean ok = checkNameAndPwd(userLogin.get("user_name"),userLogin.get("user_pwd"));

        System.out.println(ok ? "登录成功" : "登陆失败");

    }



    //初始界面,获取用户名和密码
    public static Map<String,String> initUI(){
        //存储输入账户,密码
        Map<String,String> map = new HashMap<>();
        System.out.println("***************欢迎登录****************");

        //获取输入输出
        Scanner scanner = new Scanner(System.in);
        System.out.print("用户名:");
        //nextLine接收是接收一行
        String user_name = scanner.nextLine();
        System.out.print("密码: ");
        String user_pwd = scanner.nextLine();

        //将获取的账户密码,输入到集合中
        map.put("user_name",user_name);
        map.put("user_pwd",user_pwd);

        //返回集合
        return map;
    }

    //生成用户名与密码检测方法
    private static Boolean checkNameAndPwd(String user_name, String user_pwd) {
        boolean ok = false;//判断登录是否正确

        Connection conn = null;
        PreparedStatement stat = null;
        ResultSet res = null;

        try {
            //1,创建驱动
            Class.forName("com.mysql.jdbc.Driver");

            //2,链接数据库
            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3333/db_mingzhu?charset=utf-8","root","root");

            //3,获取预编译数据库操作对象
            String sql = "select * from t_user where user_name = ? and user_pwd = ? ";

            //此时发送sql语句给DBMS,进行sql语句的编译
            stat = conn.prepareStatement(sql);

            //给占位符传值
            //JDBC下标从1开始的
            stat.setString(1,user_name); //1,代表第一个问号
            stat.setString(2,user_pwd);  //2,代表第二个问号

            System.out.println(sql);
            //程序执行到这,才会将sql语句编译发送给DBMS,DBMS才进行编译
            res = stat.executeQuery();

            //5,处理查询结果集(判断数据库释放)
            if (res.next()){
                ok = true;
            }


        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            //6,释放资源
            if ( res != null ){
                try {
                    res.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (stat != null){
                try {
                    stat.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
            if (conn != null){
                try {
                    conn.close();
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }
        return ok;
    }
}

PreparedStatement下的模糊查询(占位符的写法) 

当使用PreparedStatement做模糊查询时,注意:不能使用下面代码%?%的方式

//编写sql语句,使用?当占位符
            String sql = "select * from t_shuihuo like  '%?%'";
            //获取数据库操作对象
            stmt = conn.prepareStatement(sql);

            stmt.setString(1,"李");
            //执行SQL语句
            rs = stmt.executeQuery();

必须是以?当占位符(如下图)

 //编写sql语句,使用?当占位符
            String sql = "select * from t_shuihuo where nickname like ?";
            //获取数据库操作对象
            stmt = conn.prepareStatement(sql);

            stmt.setString(1,"李%");
            //执行SQL语句
            rs = stmt.executeQuery();

Statement 与PreparedStatement的比较

关系:Statement是PreparedStatement的父类。

Statement(使用,与使用场景)

进行字符串的拼接

使用场景:(当需要使用关键字(升序或降序)进行拼接时,就使用statement)

PreparedStatement(使用与使用场景)

先编译进行字符串的传值

使用场景(当你进行输入防止sql注入时,就使用PreparedStatement)

韶光不负
关注
  • 10
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 16
    评论
专栏目录
Java.sql的接口PreparedStatement使用
青青青的博客
05-09 3万+
自学java,学到数据库这一节了,涉及到JDBC开发,对于PreparedStatement的使用有一点不理解,在查看了一些大牛的文章,自己也尝试着把自己理解的内容写一下,就当给自己做个备注吧,有错误的还请指正,谢谢。谈到PreparedStatement的使用,就得先了解以下它和Statement得区别和联系。查看JDK API不难得知,PreparedStatement接口是继承自Statem...
Java JDBC技术:(六)SQL 注入与PreparedStatement 对象的使用-5000字匠心出品
地球村
05-15 525
SQL 注入与PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过
Java数据库连接PreparedStatement的使用详解
08-29
主要介绍了Java数据库连接PreparedStatement的使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java.sql.PreparedStatement
xwnxwn的专栏
12-16 1166
超级接口:Statement,Wrapper 子接口:CallableStatement 1、addBatch():将一组参数添加到此 PreparedStatement 对象的批处理命令中。 2、clearParameters():立即清除当前参数值。 3、execute():执行 SQL 语句,该语句可以是任何种类的 SQL 语句。 4、executeQuery(): 执行 SQL
Java & SQL 连接(初级)
最新发布
2301_79600015的博客
07-10 1698
解析PreparedStatement ps = conn.prepareStatement( "UPDATE students1 SET NAME =?, gender =?◎- private:将类的属性声明为私有,只能在本类中访问,外部无法直接访问。注册驱动 + 加载驱动(DriverManager)原生的JDBC(数据库连接)
preparestatment获取sql_java sql: PrepareStatement详解
weixin_42355744的博客
01-28 540
public classDbUtil {public static final String URL = "jdbc:mysql://localhost:3306/imooc";public static final String USER = "liulx";public static final String PASSWORD = "123456";private static Connect...
java.sql.preparedstatement的应用
weixin_30679823的博客
04-11 119
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。 在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepareds...
sql.rar_java数据库连接_java连接_java连接数据库_sql数据库连接
09-19
首先,Java数据库连接(JDBC)是Java API,它提供了一组接口和类,使得Java程序能够与各种类型的数据库进行通信。JDBC允许开发者执行SQL语句,管理事务,处理结果集等。使用JDBC时,我们需要导入`java.sql`和`javax....
java-sql-inspector:用于测试Java代码是否存在SQL注入漏洞的实用程序
02-17
Java SQL Inspector是一款强大的工具,专为检测Java代码中的SQL注入漏洞而设计。SQL注入是一种常见的安全威胁,攻击者可以通过在输入字段中插入恶意SQL代码来操纵数据库查询,从而获取敏感信息、修改数据甚至完全...
java数据库常用代码.rar_Java bean_java SQLsever_javabean 数据库_jsp jdbc
09-22
总的来说,这个压缩包文件提供了关于Java数据库编程的基础知识,包括如何使用JavaBean封装数据操作,以及如何在JSP中利用JDBC直接与SQL Server交互。这些内容对于初学者和经验丰富的开发者都是宝贵的学习资料,可以...
sql-injection-demo:这是使用Java EE和Oracle数据库进行SQL注入的演示
05-04
SQL注入通常发生在应用程序没有充分验证用户输入的情况下,攻击者可以通过输入特定的SQL语句片段,使服务器执行非预期的数据库操作。例如,一个简单的登录界面如果没有对用户名和密码进行过滤,攻击者可能输入" OR '...
Java SQL接口 PreparedStatement 防止SQL注入 以及Dao模式
Lemon
07-24 808
PreparedStatement
java.sql.PreparedStatementjava.sql.Statement区别
rll755的博客
05-08 366
本文转自CSDN,然后整理了一遍。原文出处:CSDN JDBC(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取JDBC访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-0520:56 或者 02/05/02 8:56 p...
java sql预处理_PrepareStatement(sql预处理类)
weixin_36329425的博客
02-16 889
PrepareStatement(sql预处理类)import java.sql.Connection;import java.sql.PreparedStatement;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import javax.swing.JOptionPane;pu...
Java PreparedStatement
kiven
07-13 2317
PreparedStatement是一个用于执行sql语句的标准接口的对象。它是继承与Statement。根据里氏代换原则。用Statement执行的语句,一定可以用Prepared替换了。那么他们之间有什么不同呢。 PreparedStatement 使用参数化的方式,可以用?表明变量的值位置,执行时根据位置提供变量的值。该对象是预编译的,多次执行的效率高安全性方面,高于Statem
java sql: PrepareStatement
weixin_33840661的博客
06-27 276
参见菜鸟教程:JDBC 使用说明 增删改查: public class DbUtil { public static final String URL = "jdbc:mysql://localhost:3306/imooc"; public static final String USER = "liulx"; public static final ...
java.sql 接口 PreparedStatement
weixin_30919235的博客
06-17 160
public interface PreparedStatementextends Statement 表示预编译的 SQL 语句的对象。 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort、setString 等等)必须指定与输入参数的已定义 SQL 类...
Java数据库连接——PreparedStatement的使用
anjiukonghe77852的博客
08-14 466
首先了解Statement和PreparedStatement的区别: 由此可见,一般使用PreparedStatement操作数据库SU(Course表),其中Course属性有Cno,Cname,Cpno,Ccredit。 1 public class Demo_2 { 2 3 public static void main(String[] a...
Java操作SQL数据库:连接、查询与更新
这篇文档提供了一个基础的Java数据库操作模板,适用于初学者理解和实践。然而,实际项目中,可能需要更复杂的数据访问层设计,如使用ORM框架(如Hibernate或MyBatis),以提高代码的可维护性和灵活性。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韶光不负

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值