JDBC的复习(三):Sql注入问题和解决

已于 2022-03-14 20:57:47 修改
阅读量351 收藏 1
点赞数
分类专栏: Mysql JDBC 文章标签: mysql 数据库 database
于 2022-03-01 23:41:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51276056/article/details/123219259
版权
Mysql 同时被 2 个专栏收录
16 篇文章 1 订阅
订阅专栏
JDBC
6 篇文章 0 订阅
订阅专栏

JDBC的复习(三):Sql注入问题和解决

Sql注入问题

image-20220228125529682

用户名:
dasa
密码:
dasa' or '1' = '1
登陆成功!

根本原因:

用户输入的信息中含有sql语句的关键字,并且这些关键字参与了sql语句的编译过程,导致原来的sql语句意思被扭曲,进而达到sql注入。

image-20220228130506138

解决Sql注入

  • 只要用户提供的信息不参与SQl的编译过程,就可以解决该问题
  • 即使用户输入的语句中含有SQL语句的关键字,到那时没有参与编译,不起作用。
  • 使用PrePareStatement进行sql语句框架的预编译。
 /**
     * 登陆函数,判断登陆是否成功
     * @param userLoginInfo
     * @return 返回登陆是否成功
     */
    private static boolean Login(Map<String, String> userLoginInfo) {
        boolean flag = false;

        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;

        String userName = userLoginInfo.get("useName");
        String passWord = userLoginInfo.get("passWord");

        try {
            //1. 注册驱动

            Class.forName("com.mysql.jdbc.Driver");
            //2. 获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/testjdbc?characterEncoding=UTF8&useSSL=false","root","001204");
            //3. 获取操作对象
            //SQL语句的框架
            String sql = "select * from userinfo where userName = ? and passWord = ?";
            ps = conn.prepareStatement(sql);
            //占位符,第一?下标是1,第二个?下表是标记
            ps.setString(1,userName);
            ps.setString(2,passWord);
            //4. 执行sql语句
            rs = ps.executeQuery();

            //5. 处理查询结果集合
            if(rs.next()){
                flag = true;
            }

        }catch (Exception e){
            e.printStackTrace();
        }finally {

            try {
                //释放资源
                if(rs!=null){
                    rs.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
            try {
                //释放资源
                if(ps!=null){
                    ps.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
            try {
                //释放资源
                if(conn!=null){
                    conn.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }

        }

        return flag;
    }

image-20220228150235727

Statement和PrePareStatement的对比

  • Statement存在sql注入问题,PrePareStatement解决了这个问题
  • Statement是编译一次执行一次,PrePareStatement是编译一次执行N次,相比较而言,效率更高
  • PrePareStatement会在编译阶段做类型的安全性检查

Statement的作用演示

package com.bjpowernode.jdb;

import java.sql.*;
import java.util.Scanner;

import static java.lang.System.exit;

/**
 * @author 31200
 */
public class JdbcTest08 {
    public static void main(String[] args) {
        Connection conn = null;
        Statement stat = null;
        ResultSet rs = null;
        while(true){
            System.out.println("请输入desc表示降序或者asc表示升序:");
            Scanner scanner = new Scanner(System.in);
            //获取到输入的信息
            String character = scanner.nextLine();
            if(!("desc".equals(character) || "asc".equals(character))){
                System.out.println("输入有误区,请重新输入!!!");
                continue;
            }

            try {
                //1. 注册驱动
                Class.forName("com.mysql.jdbc.Driver");
                //2. 获取连接
                conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode?characterEncoding=UTF8&useSSL=false","root","001204");
                //3. 获取数据库操作对象
                stat = conn.createStatement();
                //4. 执行sql语句
                String sql = "select ename from emp order by ename " + character;
                rs = stat.executeQuery(sql);
                //5. 遍历结果集
                System.out.println("-------------------------------");
                while(rs.next()){
                    String ename = rs.getString("ename");
                    System.out.println(ename);
                }
                exit(0);
            } catch (Exception e) {
                e.printStackTrace();
            }finally {
                //释放资源
                try {
                    if(rs!=null){
                        rs.close();
                    }
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
                try {
                    if(stat!=null){
                        stat.close();
                    }
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
                try {
                    if(conn!=null){
                        conn.close();
                    }
                } catch (SQLException throwables) {
                    throwables.printStackTrace();
                }
            }
        }
    }
}

image-20220228155645233

BKSW.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Day66:WEB攻防-Java安全&amp;SPEL表达式&amp;SSTI模版注入&amp;XXE&amp;JDBC&amp;MyBatis注入
2401_83974639的博客
04-11 834
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
如何解决sql注入问题
07-22
如何解决sql注入问题如何解决sql注入问题
jdbc——sql注入
m0_72960906的博客
10-31 930
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码中,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句中,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表中所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBCSQL注入
qq_46093575的博客
05-16 224
一、SQL注入 是指利用某些系统没有对用户输入数据进行充分的检查,而在用户输入数据中注入非法的sql语句或命令,恶意攻击数据库
JDBCSQL注入
最新发布
每日一记,每周一结。
10-07 608
PreparedStatement 是 Statement 接口的子接口,继承于父接口中所有的方法。它是一个预编译的 SQL 语句对象.预编译: 是指SQL 语句被预编译,并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。
JDBC之【SQL注入
weixin_48485216的博客
04-16 1523
sql注入原理 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句编译过程,导致sql语句的原意被扭曲,进而达到sql注入sql注入的例子 存在SQL注入的代码: public class Test { public static void main(String[] args) { // 初始化一个界面 Map<String,String> userLoginInfo = initUI(); // 验证用户
JDBC如何有效防止SQL注入
12-14
在我们平时的开发中,作为新手写JDBC很有可能忽略了一点,那是根本没有考虑SQL注入问题,  那么,什么是SQL注入,以及如何防止SQL注入问题。  一什么是SQL注入  所谓SQL注入,是通过把SQL命令插入到Web...
spring-jdbc-tips:Spring JDBC,SQL和Java
01-28
深入JDBC sqlserver连接写法的详解
12-15
String dbURL = “jdbc:microsoft:sqlserver://localhost:1433;DatabaseName=sample”;SQL Server 2005和SQL Server 2008 代码如下:String driverName = ...String dbURL = “jdbc:sqlserve
sqljdbc4-4.0.jar下载 《无需积分》,自行提取
04-21
sqljdbc4-4.0.jar下载 《无需积分》,自行提取 Maven安装cmd指令 mvn install:install-file -DgroupId=com.microsoft.sqlserver -DartifactId=sqljdbc4 -Dversion=4.0 -Dpackaging=jar -Dfile=G:\迅雷下载\BB-sql...
Java-JDBC【源码】JDBC概述、获取连接、SQL注入问题解决、查询解析
04-30
Java-JDBC【之】JDBC概述、获取连接、SQL注入问题解决、查询解析 1.JDBC概述 2.操作流程 1.初始化项目,导入`驱动jar包` 2.加载驱动类 3.创建数据库连接对象`Connection` 4.创建`Statement` (此处存在SQL注入问题)...
JDBC-用户登录(不安全)
whatname123的博客
09-07 196
package jdbc; import java.sql.*; import java.util.Scanner; import com.mysql.cj.protocol.Resultset; import com.mysql.cj.x.protobuf.MysqlxCrud.Collection; public class jdbc2 { public static void main(String[] args) throws Exception { // TODO 自动生成的方法存根
JDBC中的SQL注入
Leessang
05-22 881
狭义的 SQL注入 称之为狭义,是指我在深入了解前自己对SQL注入的理解,也就是在练习JDBC操作数据库时接触到的SQL注入。 1.1 JDBC 先介绍一下JDBC的概念:JDBC是sun公司(已被Oracle收购)制定一系列接口标准,由不同数据库厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。也就是说,开发人员可采用统一的代码来操作不同的数据库,而无需关注驱动文件的内部实现。 通俗的理解就是JDBC是规范、是接口,不同的数据库厂商要据此编写各自的操作实现。 1.2 S
jdbcsql注入
林高禄
06-24 8996
什么是sql注入呢 百度百科:SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 下面我们就通过一个例子来演示一下,例子是通过jdbc连接查account表中的数据,然后用实体类Account封装起来,返回这个类的集合 jdbc工具类代码 package com.lingaol.
jdbc中的sql注入
a8153285的博客
04-23 238
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
JDBCsql注入问题解决
weixin_49512993的博客
07-30 242
文章目录**JDBCsql注入问题解决**一、sql注入问题1、sql注入的影响:2、jdbcsql注入的例子:二、PreparedStatement对象1、PreparedStatement对象与Statement对象的区别: JDBCsql注入问题解决 一、sql注入问题 ​ SQL作为字符串通过API传入给数据库数据库将查询的结果返回,数据库自身是无法分辨传入的SQL是合法的还是不合法的,它完全信任传入的数据,如果传入的SQL语句被恶意用户控制或者篡改,将导致数据库以当前调用者的身份
JDBCsql注入
PP东博客
08-22 668
使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
JDBCSQL注入
Thumb_的博客
02-22 164
-- 创建一张表 CREATE TABLE admin( name VARCHAR(32) NOT NULL UNIQUE, pwd VARCHAR(32) NOT NULL DEFAULT '' )CHARACTER SET UTF8; -- 添加数据 INSERT admin VALUES('tom', '123'); -- 查找某个管理是否存在 SELECT * FROM admin WHERE name = 'wy' AND pwd = '123'; -- SQL -- 输入用户名 为 1'.
Cannot resolve com.microsoft.sqlserver:sqljdbc4:4.0怎么解决·
05-24
implementation 'com.microsoft.sqlserver:sqljdbc4:4.0' } ``` 如果你不使用构建工具,则需要手动将依赖项添加到你的项目中。你可以从 Microsoft 官网下载 JDBC 驱动程序,并将它添加到你的项目类路径中。 添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值