SQL注入与PreparedStatement对象

最新推荐文章于 2023-02-13 17:56:05 发布
最新推荐文章于 2023-02-13 17:56:05 发布
阅读量106 收藏
点赞数
分类专栏: MySQL Java 文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48426115/article/details/126285365
版权
Java 同时被 2 个专栏收录
95 篇文章 2 订阅
订阅专栏
MySQL
25 篇文章 0 订阅
订阅专栏

SQL注入   

         sql存在漏洞,会被攻击导致数据泄露

例:

        登录

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;


public class SQLQuestion {
    public static void main(String[] args) {

        //正常登录
//        login("张三","1234567");

        //sql注入
        login("' or '1=1","123456");

    }

    /**
     * 登录业务
     */
    public static void login(String userName, String password) {
        Connection con = null;
        Statement st = null;
        ResultSet rs = null;
        try {
            con = JDBCUtils.getConnection();
            st = con.createStatement();
            String sql = "SELECT * FROM users WHERE `name`='"+userName+"' AND `password`='"+password+"'";
            // SELECT * FROM users WHERE `name`='' or '1=1' AND `password`='123456'
            System.out.println(sql);
            rs = st.executeQuery(sql);
            while (rs.next()) {
                System.out.println("id="+rs.getInt("id"));
                System.out.println("name="+rs.getString("name"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JDBCUtils.release(con, st, rs);
        }
    }
}

 

PreparedStatement对象

        PreparedStatement可以防止SQL注入,效率更好

例:

        新增

import java.util.Date;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestInsert {
    public static void main(String[] args) {
        Connection connection = null;
        PreparedStatement preparedStatement = null;

        try {
            connection = JdbcUtils.getConnection();
            // PreparedStatement 与 Statement 的区别
            //使用 ? 占位符替代
            String sql = "INSERT INTO users(`id`,`name`,`password`,`email`,`birthday`) VALUES (?,?,?,?,?)";//预编译,SQL,先写SQL,然后不执行
            preparedStatement = connection.prepareStatement(sql);
            //手动给参数赋值
            preparedStatement.setInt(1,4);
            preparedStatement.setString(2,"牛六");
            preparedStatement.setString(3,"123456");
            preparedStatement.setString(4,"niuliu@sina.com");
            preparedStatement.setDate(5, new java.sql.Date(new java.util.Date().getTime()));
            int num = preparedStatement.executeUpdate();
            if(num > 0){
                System.out.println("插入成功!");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(connection,preparedStatement,null);
        }
    }
}

        删除

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestDelete {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement st = null;

        try {
            con = JdbcUtils.getConnection();
            String sql = "DELETE FROM users WHERE `id` = ?";
            st = con.prepareStatement(sql);
            st.setInt(1,5);

            int num = st.executeUpdate();
            if(num > 0){
                System.out.println("删除成功");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(con,st,null);
        }
    }
}

        更新

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestUpdate {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement st = null;

        try {
            con = JdbcUtils.getConnection();
            String sql = "UPDATE users SET birthday=? WHERE id=?";
            st = con.prepareStatement(sql);
            st.setDate(1, new java.sql.Date(new java.util.Date().getTime()));
            st.setInt(2,1);
            int num = st.executeUpdate();
            if(num > 0){
                System.out.println("修改成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(con,st,null);
        }
    }
}

        查看

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class TestSelect {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement st = null;
        ResultSet rs = null;

        try {
            con = JdbcUtils.getConnection();
            String sql = "select * from users where `id` = ?";
            st = con.prepareStatement(sql);
            st.setInt(1,1);
            rs = st.executeQuery();
            while (rs.next()){
                System.out.println("id="+ rs.getInt("id"));
                System.out.println("name="+ rs.getString("name"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(con,st,rs);
        }

    }
}

防止SQL注入(登录)

import java.sql.*;

public class SQL注入 {
    public static void main(String[] args) {
        //正常登录
        login("张三","123456");
        //SQL注入
        login("' or '1=1","123456");
    }

    public static void login(String userName,String password){
        Connection connection = null;
        PreparedStatement statement = null;
        ResultSet resultSet = null;

        try {
            connection = JdbcUtils.getConnection();
            // PreparedStatement 防止SQL注入的本质,把传递进来的参数当做字符
            // 假设其中存在转义字符,比如说'会被直接转义
            String sql =  "SELECT * FROM users WHERE `name`=? AND `password`=?";
//          SELECT * FROM users WHERE `name`='' or '1=1' AND `password`='123456'
//            System.out.println(sql);
            statement = connection.prepareStatement(sql);
            statement.setString(1,userName);
            statement.setString(2,password);
            resultSet = statement.executeQuery();
            while (resultSet.next()){
                System.out.println("id="+resultSet.getInt("id"));
                System.out.println("name="+resultSet.getString("name"));
                System.out.println("=============");
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(connection,statement,resultSet);
        }

    }

}

 

小结:

        PreparedStatement 防止SQL注入的本质,把传递进来的参数当做字符

ABCdxy~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Statement和PrepareStatement的使用及JDBC技术的步骤总结
qq_40695191的博客
04-26 1363
JDBC连接的几个步骤 String url = "jdbc:hsqldb:hsql://localhost";//连接数据库的url String driver = "org.hsqldb.jdbcDriver"; //建立hsqldb的驱动 String user="sa"; //用户名 String pass=""; //密码 Class.forName(driv...
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 866
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
使用PreparedStatement执行批量插入sql的三种方式以及效率
weixin_45861045的博客
08-01 5022
jdbc学习
PreparedStatement 输出SQL语句
kingwin28的博客
02-13 1173
PreparedStatement 输出SQL语句
java攻城狮之路--复习JDBC(PrepareStatement)
weixin_33853794的博客
08-24 169
PreparedStatement: 1、可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象 2、PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 2、PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示, ...
Mybatis防止sql注入的实例
08-30
其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
创建PreparedStatement对象的例子如下: ```java PreparedStatement pstmt = null; try { String SQL = "Update Employees SET age = ? WHERE id = ?"; pstmt = conn.prepareStatement(SQL); // ... }catch ...
泛微OA8前台sql注入1
08-08
1. 使用预编译的SQL语句(如Java的PreparedStatement),并绑定参数,避免SQL注入。 2. 对用户输入进行严格验证和过滤,只允许预期的字符和格式。 3. 限制应用程序对数据库的权限,避免使用具有广泛权限的数据库连接...
mysqlsql注入简单测试了解
最新发布
08-31
5. **使用ORM框架**:像Hibernate这样的对象关系映射框架可以自动处理SQL注入问题。 6. **定期审计和更新**:定期检查代码中的SQL查询,确保它们不会引入新的安全漏洞。 总之,理解SQL注入的原理并采取相应的预防...
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
SQL注入以及使用PreparedStatement解决SQL注入
weixin_44250483的博客
04-15 622
SQL注入 SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。 使用PreparedStatement防止SQL注入SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值 PreparedStatement会把所有用来替换占位符的都当成字符串处理 package com.jing.jdbc; import com.jing.utils.JDBCUtils; import
JDBC:使用PreparedStatement防止SQL注入
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql中的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
使用预编译语句设置null值(preparedStatement.setObject)
看看我都干了些啥!
10-22 1663
使用预编译语句设置null值(preparedStatement.setObject)     setObject(1, null, java.sql.Types.VARCHAR)
java preparedstatement null_java – JDBC PreparedStatement中“null primitives”的解决方法?...
weixin_39667509的博客
02-26 525
使用原始JDBC时,您可以参数化PreparedStatement,如下所示:PreparedStatement statement = connection.prepareStatement(someSQLString);String someString = getSomeString();Integer int = getSomeInteger();statement.setString(1...
JDBC中使用prepareStatment解决SQL注入风险相关问题
WangQueBuShiLei的博客
07-27 805
prepareStatment对象在set***方法上,会对单引号进行转译处理,也就是说,?中的数据的单引号 ‘ 会被转义成 \’,这样就单引号就不会破坏sql语句的结构 SELECT * FROM users WHERE userName = ? AND password = ? preparedStatement.setString(1,"xiaoming"); preparedStatement.setString(2,'anything' OR 'x'='x')...
JDBC基本操作(Statement,PreparedStatement,Connection,Transaction等)
wayblink的博客
11-30 3609
JDBC与数据库连接,查询package jdbc;import java.sql.*;//数据库相关库public class TestJDBC { public static void main(String[] args) { final String DBDRIVER="org.mariadb.jdbc.Driver";//数据库连接驱动,对于每一种数据库都不一样
试比较Statement对象与PreparedStatement对象的区别。
06-12
因为Statement对象使用字符串拼接的形式来拼接SQL语句,而PreparedStatement对象则使用占位符的形式,可以避免SQL注入攻击。 2. 执行速度:PreparedStatement对象的执行速度比Statement对象更快,因为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值