如何避免SQL注入

已于 2022-04-25 17:30:37 修改
阅读量1.1k 收藏 3
点赞数 3
分类专栏: java 文章标签: sql 数据库 mysql
于 2021-03-21 08:21:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52001449/article/details/115024872
版权

目录

什么是SQL注入

现象:

账户名:xxx
密码:xxx ’ or ’ 1 ’ = ’ 1
登录成功

原因:

原执行sql:

    String sql = "select * from t_user where loginName = '"+loginName+"' and'"+loginPwd+"'";

注入后执行sql:

    String sql = "select * from t_user where loginName = 'xxx' and loginPwd = 'xxx' or '1'='1'";

根本原因:
用户输入的信息中含有sql语句中的关键字,并且这些关键字参与sql语句的编译过程。
导致sql语句的原意被扭曲,进而达到sql注入。

解决方法

只要用户提供的信息不参与SQL语句的编译过程,问题就解决了。
即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用。
要想用户信息不参与SQL语句的编译,那么可以使用java . sql. PreparedStatement
PreparedStatement接口继承了java. sqI . Statement
PreparedStatement是属于预编译的数据库操作对象。
PreparedStatement的原理是:预先对SQL语句的框架进行编译,然后再给SQL语句传"值”。

原代码:

import java.sql.*;
import java.util.*;
/**
 * @Author: Mo
 * @Date: 2021/3/20 9:56
 */

public class JDBCtest_6 {
    public static void main(String[] args) {
        //初始化一个界面
        Map<String,String> userLoginInfo = initUI();
        //验证用户名和密码
        boolean loginSuccess = login(userLoginInfo);
        //最后输出结果
        System.out.println(loginSuccess ? "登陆成功":"登陆失败");
    }

    /**
     * 用户登录
     * @param userLoginInfo 用户登录信息
     * @return false表示失败,true表示成功
     */

    private static boolean login(Map<String, String> userLoginInfo) {
        //打标记的意识
        boolean loginSuccess = false;
        //单独定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get("loginPwd");
        //JDBC代码
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","123456");
            //3.获取数据库操作对象
            stmt = conn.createStatement();
            //4.执行sql
            String sql = "select * from t_user where loginName = '"+loginName+"' and '"+loginPwd+"'";
            rs = stmt.executeQuery(sql);
            //5.处理结果集
            if (rs.next()){
                //登陆成功
                loginSuccess = true;
            }
        }catch (ClassNotFoundException | SQLException e ){
            e.printStackTrace();
        }finally {
            //6.释放资源
            if (rs != null){
                try {
                    rs.close();
                }catch (SQLException e){
                    e.printStackTrace();
                }
            }
            if (stmt != null){
                try {
                    stmt.close();
                }catch (SQLException e){
                    e.printStackTrace();
                }
            }
            if (conn != null){
                try {
                    conn.close();
                }catch (SQLException e){
                    e.printStackTrace();
                }
            }
        }
        return loginSuccess;
    }

    /**
     *初始化用户界面
     *return用户输入的用户名和密码等登录信息
     */
    private static Map<String,String> initUI() {
        Scanner s = new Scanner(System.in);
        System.out.println("用户名:");
        String loginName = s.nextLine();

        System.out.println("密码:");
        String loginPwd = s.nextLine();

        Map<String,String>userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);

        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }


}

修改后:

import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.Scanner;

/**
 * @Author: Mo
 * @Date: 2021/3/20 19:37
 */

public class JDBCtest_7 {
    public static void main(String[] args) {
    //初始化一个界面
    Map<String,String> userLoginInfo = initUI();
    //验证用户名和密码
    boolean loginSuccess = login(userLoginInfo);
    //最后输出结果
        System.out.println(loginSuccess ? "登陆成功":"登陆失败");
}

    /**
     * 用户登录
     * @param userLoginInfo 用户登录信息
     * @return false表示失败,true表示成功
     */

    private static boolean login(Map<String, String> userLoginInfo) {
        //打标记的意识
        boolean loginSuccess = false;
        //单独定义变量
        String loginName = userLoginInfo.get("loginName");
        String loginPwd = userLoginInfo.get("loginPwd");
        //JDBC代码
        Connection conn = null;
        PreparedStatement ps = null;//这里使用PreparedStatement(预编译的数据库操作对象)
        ResultSet rs = null;
        try {
            //1.注册驱动
            Class.forName("com.mysql.jdbc.Driver");
            //2.获取连接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","123456");
            //3.获取预编译的数据库操作对象
            String sql = "select * from t_user where loginName = ? and ?";//  SQL语句的框架。其中一个?表示一个占位符,一个?将来接收一个“值”,注意:占位符不能使用单括号括起来。
            ps = conn.prepareStatement(sql);
            //给占位符?传值(第1个?下标是1,第2个问号下标是2,JDBC中所有的下标从一开始)
            ps.setString(1,loginName);
            ps.setString(2,loginPwd);
            //4.执行sql
            rs = ps.executeQuery();
            //5.处理结果集
            if (rs.next()){
                //登陆成功
                loginSuccess = true;
            }
        }catch (ClassNotFoundException | SQLException e ){
            e.printStackTrace();
        }finally {
            //6.释放资源
            if (rs != null){
                try {
                    rs.close();
                }catch (SQLException e){
                    e.printStackTrace();
                }
            }
            if (ps != null){
                try {
                    ps.close();
                }catch (SQLException e){
                    e.printStackTrace();
                }
            }
            if (conn != null){
                try {
                    conn.close();
                }catch (SQLException e){
                    e.printStackTrace();
                }
            }
        }
        return loginSuccess;
    }

    /**
     *初始化用户界面
     *return用户输入的用户名和密码等登录信息
     */
    private static Map<String,String> initUI() {
        Scanner s = new Scanner(System.in);
        System.out.println("用户名:");
        String loginName = s.nextLine();

        System.out.println("密码:");
        String loginPwd = s.nextLine();

        Map<String,String>userLoginInfo = new HashMap<>();
        userLoginInfo.put("loginName",loginName);

        userLoginInfo.put("loginPwd",loginPwd);
        return userLoginInfo;
    }


}

Statement和PreparedStatement的对比

  1. Statement存在SQL注入问题,PreparedStatement解决了SQL注入的问题。
  2. Statement是编译一次执行一次,PreparedStatement是编译一次可执行N次。PreparedStatement效率较高一些。
  3. PreparedStatement会在编译阶段做类型的安全检查。

综上所述:PreparedStatement使用较多,只有极少数情况下需要使用Statement。

灬爱码士灬
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
如何避免SQL注入(一文弄懂SQL注入与它的解决办法)
m0_58702068的博客
12-03 2526
如何避免SQL注入(一文弄懂SQL注入与其解决办法)一,SQL注入:1. 是什么2. 语句3. 如何解决二,PreparedStatement1. 什么是动态提供参数2. 对比PreparedStatement与Statement3. 实例展示 最近学习到了SQL注入,也就是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎,最终达到欺骗服务器执行恶意的SQL命令。那么如何解决这个问题呢,下面博主对自己的学习结果进行总结与大家分享。 一,SQL注入: 1. 是什么 就是利用现有应用程序,将恶意
Hibernate使用中防止SQL注入的几种方案
01-20
在使用Hibernate进行数据库操作时,虽然它提供了便捷的ORM(对象关系映射)功能,但同时也需要关注SQL注入的安全问题。SQL注入是一种常见的攻击手段,攻击者可以通过输入恶意的SQL语句来篡改数据库信息,严重威胁...
防止SQL注入的5种方法
06-13
防止SQL注入的5种方法,小白分享,不喜勿喷,谢谢,,,
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6586
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
如何应对SQL注入攻击?
最新发布
m0_66326520的博客
07-25 958
SQL注入是一种利用应用程序对用户输入缺乏充分过滤和验证的漏洞,向SQL查询中插入恶意代码的攻击方式。通过这种方式,攻击者可以绕过应用程序的安全机制,直接对数据库执行任意操作。
如何防止sql注入呢?
热门推荐
li_lening的博客
05-21 11万+
sql注入大大降低了网站的安全性!最终达到欺骗服务器执行恶意的SQL命令。 会查出条件不允许的数据,假如是这样的一条sql:$sql="select * from stu where stu_name = $name and stu_email = $password";那么危险来了,注入sql后会变成这样:select * from t_admin where stu_name ='xxx' a...
如何避免 SQL 注入?
m0_68464502的博客
06-13 1511
1. 使用参数化的 SQL 语句:通过使用参数化的 SQL 语句,可以避免拼接字符串产生的 SQL 注入攻击,具体实现可以使用 PreparedStatement 对象,将参数化之后的 SQL 语句与参数一起传递给数据库,这样可以将参数转义后传递给数据库,防止 SQL 注入攻击。总之,避免 SQL 注入攻击的关键在于使用正确的 SQL 命令和正确的 SQL 参数化技术,以及数据验证和输入验证,服务端必要的安全配置,只有以此为基础的安全编程思路才能有效避免此类攻击。
如何避免sql注入
DKPT的博客
06-25 504
1、使用经过良好维护和广泛使用的Web框架和库,它们通常包含防止SQL注入的安全措施。3、使用数据库特定的函数或库来清理和转义特殊字符,如SQL关键字和注释字符。2、详细的错误信息可能会暴露数据库结构、使用的SQL语句和潜在的漏洞。1、在将用户输入的数据插入到SQL查询之前,始终验证和清理这些数据。1、对代码进行定期的代码审查和安全测试,以发现潜在的SQL注入漏洞。1、遵循安全编码的最佳实践,如最小权限原则、输入验证、输出编码等。3、限制可以访问的数据库和表,以及可以执行的SQL命令。
避免sql注入_动力节点Java学院整理
08-29
避免SQL注入的方法总结 SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过在输入字段中嵌入恶意SQL代码来攻击数据库。为了避免SQL注入,需要从多方面入手,包括权限控制、参数化语句、输入验证、数据库安全参数...
图书馆网站如何避免SQL注入攻击.pdf
09-19
图书馆网站如何避免SQL注入攻击.pdf
Php中用PDO查询Mysql避免SQL注入风险的方法
01-20
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而...
SQL注入 如何防止SQL注入
08-14
SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入SQL注入 如何防止SQL注入
如何避免 sql 注入?
ConstXiong
07-04 2万+
如何避免 sql 注入? 1、概念 SQL 注入(SQL Injection),是 Web 开发中最常见的一种安全漏洞。 可以用它来从数据库获取敏感信息、利用数据库的特性执行添加用户、导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 2、造成 SQL 注入的原因 程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 脚本,程序在接收后错误的...
SQL注入如何避免
技术摸索和实践者
07-01 371
在上学的时候做了一个系统,有一个实习过的同学在页面上输入一段信息,然后我数据库就挂掉了,当时印象是特别深刻。后来工作了,查询资料也不是很方便,SQL注入只是零零散散的看过一些资料,现在再系统的找一些资料学习一次。
如何防止SQL注入
m0_49521873的博客
05-23 2347
例如,Web应用程序通常只需要对数据库进行查询和插入操作,应该限制Web应用程序对数据库的访问权限,不允许Web应用程序执行删除、修改等操作。1. 输入合法性验证:在应用程序中对用户输入的内容进行检查和验证,仅允许输入合法的数据,如数字、字母等。SQL注入攻击是一种常见的网络攻击方式,攻击者通过构造恶意SQL语句,将恶意代码注入到应用程序的数据库中,从而对数据库进行非法操作,如删除、修改、泄露数据等。2. 参数化查询:使用参数化查询,将SQL语句与查询参数分离,避免SQL语句中直接拼接用户输入的数据。
sql注入攻击对mysql的影响_如何防止SQL注入攻击?
weixin_42526101的博客
02-04 247
SQL注入是一种注入攻击,可以执行恶意SQL语句。下面本篇文章就来带大家了解一下SQL注入,简单介绍一下防止SQL注入攻击的方法,希望对大家有所帮助。什么是SQL注入SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程...
如何防止 SQL 注入?
weixin_40074744的博客
10-25 244
题图:by from gary bunt昨晚看见群里在讨论关于数据库安全以及关于 SQL 注入的问题,那就简单的说一下。————首先 SQL 注入是指有些不法分子或者黑客...
怎么避免SQL注入
qq_1209687433的博客
07-23 1606
  SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三、SQL注入攻击实例 比如在一个登录界面,要求...
如何防止SQL 注入
Pastxu的小屋
04-22 550
简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 JDBC 介绍 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 Java 持久层技术都基于 JDBC 说明 直接使用 JDBC 的场景,如果代码中存在拼接 SQL 语句,那
sql转义避免sql注入
06-10
为了避免 SQL 注入攻击,我们可以使用 SQL 转义来确保 SQL 查询语句中的特殊字符被正确地处理而不会被解释为 SQL 代码。 具体而言,我们可以使用以下方法进行 SQL 转义: 1. 使用预处理语句:使用预处理语句可以...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值