mysql 解决sql注入

最新推荐文章于 2023-03-09 11:01:29 发布
最新推荐文章于 2023-03-09 11:01:29 发布
阅读量282 收藏
点赞数
分类专栏: mysql阶段回顾 文章标签: SQL注入 PreparedStatement Java 数据安全 数据库操作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48595687/article/details/125844800
版权

sql注入:

web应用程序对用户输入数据的合法性没有判断或者过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾添加额外的sql语句,在管理员不知情的情况下进行非法操作,以此实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

java解决的方法:

  • 使用prepareStatement
package com.sql;

import java.sql.*;

/**
 * @author panglili
 * @create 2022-07-18-9:57
 */
public class demo2 {
    public static void main(String[] args) throws Exception {
        //1.加载驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //2.用户信息和url
        String url="jdbc:mysql://localhost:3306/shop?useUnicode=true&characterEncoding=utf-8&userSSL=false";
        String name="root";
        String pwd="123123";
        //3.连接成功
        Connection connection = DriverManager.getConnection(url, name, pwd);
        //4.预编译sql先不赋值
        String sql="delete  from account where id=?";
        PreparedStatement st = connection.prepareStatement(sql);

        //5.手动给参数赋值
        st.setInt(1,2);
        //6.执行 删除语句会返回受影响的行数
        int i = st.executeUpdate();

        if(i>0){
            System.out.println(i+"行删除成功");
        }
        //7.释放连接
        st.close();
        connection.close();
    }
}

prepareStatement防止sql注入的本质就是,把传递进来的参数当做字符,如果存在转义字符会被直接转义!

不掉发的coder
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis ${} sql注入
心帆唯一的专栏
04-28 8967
mybatis中${}的sql注入解决方案 主要解决sql的like 、in 、order by 注入问题,其他查询也可以参照下面解决建议 首先#{}和${}在预编译中的处理是不一样的。 #{}在预处理时,会把参数部分用一个占位符 ?代替,变成如下的sql语句: select * from user where name = ?; ${}则只是简单的字符串替换,在动态解析
SQL注入解决
sudo_feng的博客
10-28 167
SQL注入问题 问题描述:在设计登陆案例时,通过将输入的name与password作为关键词在数据库中检索匹配,将获取的结果作为身份验证的依据,当有一些特殊的密码时会产生绕过密码直接登陆的问题 如下代码: package com.JDBCDemo.demo2; import com.JDBCUtils.JDBCUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import
SQL注入的一些示例及解决SQL注入的方法
最新发布
weixin_43618785的博客
03-09 8716
解决SQL注入的方法
MySQLSQL注入解决
weixin_47543906的博客
11-23 919
Statement的子接口PreparedStatement PreparedStatement预编译执行者对象 预编译:SQL语句在执行前就已经编译好了,执行速度更快。 安全性更高:没有字符串拼接的SQL语句,所以避免SQL注入的问题 代码的可读性更好,因为没有字符串拼接
MySQL如何防止SQL注入
热门推荐
小红的布丁的博客
08-04 2万+
       最近,在写程序时开始注意到sql注入的问题,由于以前写代码时不是很注意,有一些sql会存在被注入的风险,那么防止sql注入的原理是什么呢?我们首先通过PrepareStatement这个类来学习一下吧!  作为一个IT业内人士只要接触过数据库的人都应该知道sql注入的概念及危害,那么什么叫sql注入呢?我在这边先给它来一个简单的定义:sql注入,简单来说就是用户在前端web页面输入恶...
网站mysql防止sql注入攻击 3种方法总结
网站安全专家
10-11 1万+
mysql数据库一直以来都遭受到sql注入攻击的影响,很多网站,包括目前的PC端以及手机端都在使用php+mysql数据库这种架构,大多数网站受到的攻击都是与sql注入攻击有关,那么mysql数据库如何防止sql注入呢?下面我们SINE安全技术针对于这个sql注入问题总结3种方案去防止sql注入攻击。 sql注入产生的原因很简单,就是访问用户通过网站前端对网站可以输入参数的地方进行提交参数,...
MySQL SQL 注入
小小博客爱分享
07-29 191
本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 SQL注入可能是目前互联网上存在的最丰富的编程缺陷。 这是未经授权的人可以访问各种关键和私人数据的漏洞。 SQL注入不是Web或数据库服务器中的缺陷,而是由于编程实践较差且缺乏经验而导致的。 它是从远程位置执行的最致命和最容易的攻击之一。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 以下实例中,输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到
MySQL解决SQL注入的另类方法详解
09-10
MySQL中,防止SQL注入有多种方法,包括使用预编译语句、参数化查询、转义特殊字符等。本文主要探讨一些非传统的、另类的方法来解决SQL注入问题。 首先,我们来看问题的本质。当用户输入被直接插入到SQL语句中时,...
PHP+MysqlSQL注入源码 下载
01-01
这个"PHP+MysqlSQL注入源码 下载"的主题涉及到一个常见的安全问题——SQL注入,以及如何处理和预防这种情况。下面将详细讨论SQL注入、PHP与MySQL的结合使用,以及如何防范SQL注入。 **SQL注入** SQL注入是一种...
MySQLSQL 注入
12-16
如果您通过网页获取用户输入的数据并将其插入一个MySQL数据库,那么就有可能发生SQL注入安全的问题。 本章节将为大家介绍如何防止SQL注入,并通过脚本来过滤SQL中注入的字符。 所谓SQL注入,就是通过把SQL命令插入到...
学习博客:【MySQLSQL注入问题及解决
Aurinko324的博客
05-06 275
SQL存在漏洞,被攻击会导致数据泄露 package com.yl.lesson02.untils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; //SQL注入 public class SqlInject { public static void main(String[] args) { //正常登
mysql中如何防止sql注入_如何进行防SQL注入
weixin_42352981的博客
02-02 2552
1、过滤掉一些常见的数据库操作关键字:select,insert,update,delete,and,*等或者通过系统函数:addslashes(需要被过滤的内容)来进行过滤。2、在PHP配置文件中Register_globals=off;设置为关闭状态 //作用将注册全局变量关闭。比如:接收POST表单的值使用$_POST['user'],如果将register_globals=on;直接使用$...
Mysqlsql注入是什么?怎么解决?
weixin_43548518的博客
12-30 555
sql注入的原因 语句和用户输入的内容进行拼接,发送给数据库编译的时候,数据库将用户输入的内容当成sql语句编译了。从而从根本上改变了我们开发者所期望sql语句原有的含义。导致程序受到sql攻击。 sql注入的代码 这案例用户名密码均错误也可以登陆,就是发生了sql注入 public static void main(String[] args) throws Exception { //假设这里的用户名和密码是前端页面传递过来的。 String username = "ad
MySQL中出现的SQL注入问题以及解决方法
whr
11-10 878
什么是SQL注入问题? > 指web应用程序对用户输入数据的合法性没有判断或过滤不严,用户有可能在输入语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作
MySQLSQL注入及防止
yalu_123456的博客
07-11 696
SQL注入 我们发现,按照上面的方法进行操作,无论密码是否正确,都提示我们登陆成功,这显然是不合理的。问题出在哪里呢? 字符串拼接后的SQL语句是: select * from users where username = ‘kuangshen’ or 1 = 1 and password = ‘"+password+"’; 运行到or的时候已经是条件成立,所以无论后面是否正确,无需验证密码即可...
MySQL中另类输入是什么_MySQL解决SQL注入的另类方法详解
weixin_34530164的博客
02-02 71
本文实例讲述了MySQL解决SQL注入的另类方法。分享给大家供大家参考,具体如下:问题解读我觉得,这个问题每年带来的成本可以高达数十亿美元了。本文就来谈谈,假定我们有如下 SQL 模板语句: select * from T where f1 = '{value1}' and f2 = {value2}现在我们需要根据用户输入值填充该语句: value1=hellovalue2=5我们得到了下面的 ...
mysql sql注入_MySQL-和SQL注入
cunzai1985的博客
09-23 230
mysql sql注入 MySQL-和SQL注入 (MySQL - and SQL Injection) Advertisements 广告 Previous Page 上一页 Next Page 下一页 If you take user input through a webpage and insert it into a MySQL database, th...
学习笔记:node-mysql中防止SQL注入
08-10 585
备注: 本文针对 mysqljs/mysql。 为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(par
mysql中重复数据的处理及sql注入
smxueer的专栏
08-16 644
 一、重复数据的处理 有些 MySQL 数据表中可能存在重复的记录,有些情况我们允许重复数据的存在,但有时候我们也需要删除这些重复的数据。 本章节我们将为大家介绍如何防止数据表出现重复数据及如何删除数据表中的重复数据。 防止表中出现重复数据 你可以在MySQL数据表中设置指定的字段为 PRIMARY KEY(主键) 或者 UNIQUE(唯一) 索引来保证数据的唯一性。 让我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值