JDBC中 sql注入问题及解决

最新推荐文章于 2022-12-16 17:59:37 发布
最新推荐文章于 2022-12-16 17:59:37 发布
阅读量260 收藏
点赞数 1
分类专栏: MYSQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49512993/article/details/119257414
版权

数据库 jdbc sql java mysql

文章目录

JDBC中 sql注入问题及解决

一、sql注入问题

​ SQL作为字符串通过API传入给数据库,数据库将查询的结果返回,数据库自身是无法分辨传入的SQL是合法的还是不合法的,它完全信任传入的数据,如果传入的SQL语句被恶意用户控制或者篡改,将导致数据库以当前调用者的身份执行预期之外的命令并且返回结果,导致安全问题。

1、sql注入的影响:
  • 可读取数据库中的库和表
  • 可执行系统命令
  • 可以任意修改和删除任意文件
  • 可以安装木马后门
2、jdbc中sql注入的例子:
//模拟登录事务(正常查询)
public class SqlInjection {
    public static void main(String[] args) {
        login("zhansan","123456");
    }
    public static void login(String name,String password){
        JdbcUtil jdbcUtil = new JdbcUtil();
        Connection conn = jdbcUtil.getConnection();
        Statement sta =null;
        ResultSet rs =null;
        try {
            sta = conn.createStatement();
            String sql="select * from users where `NAME`='"+name+"'and `PASSWORD`='"+password+"'";
            rs = sta.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("name"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            jdbcUtil.release(conn,sta,rs);
        }

    }
}
//非正常登录(sql注入)
public class SqlInjection {
    public static void main(String[] args) {
        login(" 'or '1=1","'or'1=1");			//通过or恒等式窃取你的全部用户数据
    }
    public static void login(String name,String password){
        JdbcUtil jdbcUtil = new JdbcUtil();
        Connection conn = jdbcUtil.getConnection();
        Statement sta =null;
        ResultSet rs =null;
        try {
            sta = conn.createStatement();
            String sql="select * from users where `NAME`='"+name+"'and `PASSWORD`='"+password+"'";
            rs = sta.executeQuery(sql);
            while (rs.next()){
                System.out.println(rs.getString("name"));
                System.out.println(rs.getString("password"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            jdbcUtil.release(conn,sta,rs);
        }

    }
}

二、PreparedStatement对象

1、PreparedStatement对象与Statement对象的区别:

  • PreparedStatement继承Statement,都是接口

  • PreparedStatement对象可以防止sql注入,比Statement安全

  • PreparedStatement效率更高,执行sql语句快

  • PreparedStatement 防止sql注入的本质:将传递进来的参数当做字符;假设其中存在转义字符,比如’会被直接转义

//使用PreparedStatement对象防止sql注入
public class PstaSelect {
    public static void main(String[] args) {
        login("zhansan","123456");//sql注入不管用
    }
    public static void login(String name,String password){
        JdbcUtil jdbcUtil = new JdbcUtil();
        PreparedStatement psta =null;
        ResultSet rs =null;
                Connection conn = jdbcUtil.getConnection();
        try {
            String sql = "select * from users where `NAME`=? and `PASSWORD`=?";
            //PreparedStatement 防止sql注入的本质:将传递进来的参数当做字符
            //假设其中存在转义字符,比如'会被直接转义
            psta = conn.prepareStatement(sql);//预编译
            //传递参数
            psta.setString(1,name);
            psta.setString(2,password);
            rs = psta.executeQuery();//执行
            while(rs.next()){
                System.out.println(rs.getString("NAME"));
                System.out.println(rs.getString("password"));
                System.out.println(rs.getString("email"));
                System.out.println(rs.getString("birthday"));
            }
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            jdbcUtil.release(conn,psta,rs);
        }
    }
}
lengzher_5601
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA高级】——吃透JDBCSQL注入问题解决方案
不迁怒,不贰过。小知识,大智慧。
10-26 1万+
吃透JDBCSQL注入问题解决方案
JDBC如何防止SQL注入
qf2019的博客
08-25 2201
JDBC如何有效防止SQL注入 在我们平时的开发,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入问题, 那么,什么是SQL注入,以及如何防止SQL注入问题。 1.什么是SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是
JDBC-SQL注入攻击问题解决方案
Fly_Fly_Zhang的博客
07-07 771
什么是SQL注入: 由于dao层执行的SQL语句是拼接出来的,其一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
JDBC碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 298
Sql注入问题 学习JDBC的过程学到了一个Sql的安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
JDBCsql注入问题
an_gentle_killer的博客
05-11 205
原表数据 根据账户密码查询该人信息 package com.jdbc; import java.sql.*; public class SqlInject { public static void login(String username,String password) throws ClassNotFoundException, SQLException { //forName抛出异常 ClassNotFoundException Class.forN.
jdbcsql注入问题
倔强100%的博客
03-21 121
jdbc连接数据库 创建的db.properties工具类获取配置信息 driver=com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=false user=root password=123456 创建u...
JDBCSQL注入问题
毛豆豆的博客
01-16 481
Java执行SQL语句的过程,由于用户提供的信息含有SQL关键字,进行编译的过程,会扭曲原SQL语句的含义,所以我们应当避免SQL语句的注入,那么如何避免呢?  先定义SQl语句框架,对SQL语句进行预先编译,只编译一次,然后再去接收用户提供的信息;  *    用户提供的信息即使含有SQL语句的关键字,这些关键字不参与这次SQL语句的编译,是不起作用的。  *    采用这种方式
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题)...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
jdbcsql注入问题
weixin_44048676的博客
06-15 182
问题出现的原因 在jdbc用于编译sql对象的Statement类的使用如 String sql = "select * from jdbc where username = '"+username+"' and password = '"+password+"' "; //获取执行sql的对象 stmt = conn.createStatement(); //执行sql语句 stmt.executeQuery(sql); 假如传入的参数username为 ’or 1=1 ;-- ,或者参数pas..
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
JDBC-SQL注入问题
Neuclil的博客
10-12 563
当用name作为参数时, 如果名字里面含有or 等带有歧义的情况时, 或导致错误。比如String name = "or 1 or "将导致全部的记录都会被输出。这种错误叫做sql注入。我们需要将过滤的工作交给数据库来处理。即PreparedStatement ps. 例子如下: PreparedStatement ps = null; String sql = "sele
[3]JDBCSQL注入问题
李绪颖_IT培训讲师
04-12 94
JDBCSQL注入问题 使用预处理( PreparedStatement )解决SQL注入问题: import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Stat...
Sql注入问题(基于JDBC)
qq_46844003的博客
12-16 218
SQL的注入漏洞分析,以及PreparedStatement的
JDBC SQL注入问题
weixin_46441425的博客
02-07 1169
关于JDBC连接登录案例的改进
JDBC关于Statement的Sql注入问题
发光吖的博客
09-11 1084
sql注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是sql语法里的一些组合,通过执行sql语句进而执行攻击者所要做的操作,其产生的主要原因在于应用程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 我们通过一个用户登录的小案例来大致了解sql注入的情况:(Oracle数据库环境) 首先准备一张表t_user: create table t_user( name varchar2(10) primary key, password varchar2(10) not n
JDBC解决SQL注入问题
MarconiYe的博客
04-04 897
我们在通过JDBC执行SQL语句时,为了避免SQL注入,可以用PrepareStatement来代替Statement来获取数据库操作对象,这两个接口的区别如下(如果对JDBC基础操作不熟悉,可参考我的另一篇文章) Statement接口: 先进行字符串的拼接,再进行SQL语句的编译,这就给到了不法分子可乘之机 PrepareStatement接口: 先进行SQL语句的预编译,再进行传值操作,可以有效避免SQL注入问题 Statement state = con.createStatement(); S
JDBC操作数据库08(sql注入问题
fanfjaiyun的博客
02-15 134
sql注入SQL注入SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库的记录。 sql注入步骤: 寻找注入点,构造特殊的语句 ...
JDBC的复习(三):Sql注入问题解决
BKSW.的博客
03-01 378
JDBC的复习(三):Sql注入问题解决 Sql注入问题 用户名: dasa 密码: dasa' or '1' = '1 登陆成功! 根本原因: 用户输入的信息含有sql语句的关键字,并且这些关键字参与了sql语句的编译过程,导致原来的sql语句意思被扭曲,进而达到sql注入解决Sql注入 只要用户提供的信息不参与SQl的编译过程,就可以解决问题 即使用户输入的语句含有SQL语句的关键字,到那时没有参与编译,不起作用。 使用PrePareStatement进行sql语句框架的预编译。
jdbc sql注入
最新发布
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值