预编译和SQL注入

已于 2022-09-23 20:49:13 修改
阅读量952 收藏
点赞数
分类专栏: JavaWeb 文章标签: sql java 数据库
于 2022-09-23 00:17:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50968698/article/details/127002501
版权

为什么执行数据库操作时要对sql语句进行预编译?

因为如果不进行预编译操作,会有sql注入的安全问题

那么什么是sql注入呢?

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。

SQL注入代码解释

public class Sqlnjection {
    public static void main(String[] args) {

        //正常登录操作
        login("asd","123456");

        /*
        *sql注入操作
        *login(" ` or 1"," ` or 1");
        *会导致非法用户直接登录,存在信息安全隐患
        * */

    }

    //登录业务
    public static void login(String uesrname, String password){

        Connection connection= null;
        Statement statement = null;
        ResultSet resultSet = null;

        try {
            //获取数据库连接对象
            connection = JdbcUtils.getConnection();
            //创建数据库执行对象
            statement = connection.createStatement();

            String sql = "select * from users where name =`"+uesrname+"` and `password` =`"+password+"`";
            resultSet=statement.executeQuery(sql);

            if (resultSet==null)
                System.out.println("登录失败");

            while (resultSet.next()){
                System.out.println(resultSet.getString("name"));
                System.out.println(resultSet.getString("password"));
            }

        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(connection,statement,resultSet);
        }
    }
}

预编译PreparedStatement

预编译可以防止SQL注入,同时效率更高

预编译代码解释

public class TsetInsert {
    public static void main(String[] args) {

        Connection connection= null;
        PreparedStatement preparedStatement=null;
        ResultSet resultSet = null;

        try {
            //获取数据库连接对象
            connection = JdbcUtils.getConnection();
            
            //使用?占位符代替参数
            String sql = "insert into users(id, `name`, `birthday`) values(?, ?)";

            //预编译SQL,先写sql,然后不执行
            preparedStatement = connection.prepareStatement(sql);
            
            //手动给参数赋值
            preparedStatement.setInt(1,4);//给第一个参数赋值为4
            preparedStatement.setString(2,"abc");//给第二个参数赋值为abc
            
            int i = preparedStatement.executeUpdate();
            if (i>0){
                System.out.println("插入成功");
            }
            
        } catch (SQLException e) {
            e.printStackTrace();
        }finally {
            JdbcUtils.release(connection,preparedStatement,null);
        }
    }
}

PreparedStatement 防止SQL注入的本质

把传递进来的参数当做字符,假设其中存在转义字符,比如说`会被直接转义(忽略)

SHELK
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6146
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
sql注入网站源码
04-09
以下是关于SQL注入和ASP网站安全的一些关键知识点: 1. **SQL注入原理**:攻击者通过输入恶意构造的SQL代码,使得原本的查询语句发生变化,从而实现未授权的数据访问。例如,如果一个登录页面的查询语句是"SELECT *...
预编译sql注入
weixin_54855337的博客
12-05 2842
预编译sql注入
SQL注入——预编译CASE注入
来日可期的博客
09-25 1598
预编译 CASE(Prepared CASE)是一种数据库查询语言(如SQL)中的控制语句,它可以根据条件表达式的值来选择执行不同的语句块,类似于编程语言中的 switch 语句。预编译 CASE 注入则是一种基于预编译 CASE 语句的安全漏洞攻击。预编译 CASE 注入攻击的漏洞原理与其他类型的注入攻击相似,即攻击者尝试构造特定的输入数据来绕过应用程序的输入验证和过滤机制,从而能够执行未经授权的操作或获得敏感信息等。在预编译 CASE 注入攻击中,攻击者通常会针对应用程序中存在的具有条件判断语句
预编译为什么能SQL注入?一看你就明白了。预编译原理详解_预编译sql注入
最新发布
m0_62289824的博客
04-21 824
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。模拟预编译则用于那些不支持预编译数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。
预编译真的能完美SQL注入吗?
白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。
01-05 790
在之前面试的时候,我还是太菜了,有一道面试题还是值得研究研究的。面试官问我,怎样完全避免sql注入?我想起了刚毕业时校招有一次也被问过一样的问题,当时我说的是:“基本上预编译就能解决了。”当时并没有对我提出质疑,所以我就一直以为预编译是无敌的,可以绝对sql注入。所以这次被问到,我依旧回答了预编译,不过这次面试官没有放我一马,开始对我进行追问:“有没有什么情况是预编译无法解决的?”我一听就知道完蛋了,自己才学疏浅终于还是掉坑里了,然后才意识到自己根本没有去深入研究过预编译。所以这次就想记录一下。
SQL预编译
LuM523的博客
04-23 1016
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语...
sql注入,参数化预编译示例
05-07
sql注入护,预编译示例
Mybatissql注入的实例
08-30
Mybatissql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要sql注入sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
mybatisSQL注入的方法实例详解
08-27
MyBatis 通过使用预编译语句和存储过程来SQL 注入攻击。例如,在 mapper 文件中可以使用预编译语句来SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以...
metinfo 后台sql注入1
08-03
可以使用预编译SQL语句(如PHP的PDO或MySQLi的预处理语句),或者对用户输入进行转义处理,以SQL注入的发生。 总的来说,MetInfo的这个SQL注入漏洞提醒我们,无论使用何种内容管理系统,都必须时刻关注安全...
预编码算法汇总
09-08
预编码算法的各种汇总,SLNR,BDSVD,MET,
编译预处理机制(SQL注入问题解决原理)
lf1949的博客
03-24 2550
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
预编译sql注入的简单理解
weixin_45983964的博客
05-12 568
网上看了一下预编译为什么能够sql注入,大部分都是套话。在浏览的时候发现了一句话,让我醍醐灌顶。是这样说的,是把用户输入的值当做该字段的属性。可能是我说法的问题,但大概意思就是: 如果我们没有做预编译的话,那么用户输入的值就会和该sql语句一起编译执行,那么用户输入的sql注入的语句也会被当做正常的语句进行执行。 如果我们利用了预编译的话,用户输入的值就会变成我们需要填充的一个字段,比如用户和密码这里。如果我们使用预编译,不管用户输入的是什么?我们也只会把输入的当做字符串填充到用户字段和密码字段下进行查
利用预编译SQL注入
m0_51428325的博客
12-26 900
在做CTF时遇到这样一个题目,注入点过滤了SELECT和.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式: id=1';show tables;%23 但是没法查询字段,于是就可以利用构建预编译语句来绕过过滤。 利用此方法的前提是支持多语句查询。 先来谈谈什么叫预编译,实际上它经常被用来SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,预编译的目的就在于解决这一点。 我们常见的有关SQL注入预编译手段都是基于后端代码的,即PHP或J
create file遇到操作系统错误5拒绝访问
热门推荐
suwu150
06-04 2万+
create file遇到操作系统错误5拒绝访问 当在sql server 2014创建一个数据库时出现错误: 尝试打开或创建物理文件 'G:\Test.mdf' 时,CREATE FILE 遇到操作系统错误 5(拒绝访问。 原因及解决方法如下: 这是因为SQL Server的启动帐户(一般是system或某个操作系统管理员),对所要存储文件的盘根目录没有创建文件的权限(此处为G盘下)。运行services.msc,在服务管
MySQL-SQL注入问题(预编译处理)
Just__2009的博客
10-19 817
当服务器向数据发送访问请求,在sql语句中夹杂特殊字符,在与查询语句进行拼接时,导致sql语句产生了歧义。 当用户登陆时,加入输入的帐号或密码并不存在,但是在帐号或密码中输入如下: a' or 'a'='a 此时结果会显示为登陆成功。 原查询语句: select name from users where username=‘帐号’ and password = ‘密码’ 拼接后 select name from users where username=‘123’ and password = ‘a’
预编译如何避免SQL注入 Mybatis SQL预编译 注入
小獣专栏
01-12 825
Mybatis的预编译是借助PreparedStatement #{}这种会自动处理成字段值(加双引号进行转义) ${}这种则不会预编译,直接当成字符串拼成SQL,会被注入 预编译功能依赖具体DB实现,有些没有实现这个功能 预编译的目的: 1. 提高性能 2. 避免注入 如何提高性能? 在使用PreparedStatement执行SQL命令时,命令会带着占位符被数据库进行编译和解析,并放到命令缓冲区 每当执行同一个PreparedStatement语句的时候,由于在缓冲区中可以...
预编译sql注入
04-12
预编译是一种常用的SQL注入攻击的方法。它通过将SQL查询语句和参数分开处理,使得参数值不会被解释为SQL代码的一部分,从而有效地止了SQL注入攻击。 在使用预编译的过程中,首先需要创建一个带有占位符的SQL查询语句,例如使用问号(?)或者冒号(:)作为占位符。然后,将参数值与占位符进行绑定,确保参数值不会被解释为SQL代码。最后,执行预编译SQL语句,数据库会将参数值作为数据进行处理,而不会将其解释为SQL代码。 预编译的优势在于可以避免手动拼接SQL语句,从而减少了注入攻击的风险。此外,预编译还可以提高数据库查询的性能,因为数据库可以对预编译的语句进行缓存和优化。 总结一下,预编译是一种有效的SQL注入攻击的方法,它通过将SQL查询语句和参数分开处理,确保参数值不会被解释为SQL代码。同时,预编译还可以提高数据库查询的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值