【加强】防止sql注入的prepareStatement,连接池DataSource,工具类DataSourceUtil

最新推荐文章于 2024-05-15 09:16:44 发布
最新推荐文章于 2024-05-15 09:16:44 发布
阅读量372 收藏 1
点赞数
文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52226593/article/details/122505524
版权

实现类

package datasource;

import com.alibaba.druid.pool.DruidDataSourceFactory;
import utils.DataSourceUtil;

import javax.sql.DataSource;
import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Properties;

public class DataSourceDemo {
    public static void main(String[] args) throws Exception {
        //        创建Properties对象
//        Properties pro = new Properties();
        //        使用ClassLoader调用方法将文件转换成io流
        //          加载配置文件
//        InputStream is = ClassLoader.getSystemResourceAsStream("druid.properties");
        //         调用Properties的方法读取io流中的数据
//        pro.load(is);
        //          调用DruidDataSourceFactory(Druid数据资源工厂)中的createDataSource(创建数据资源)
        //          初始化连接池对象
//        DataSource dataSource = DruidDataSourceFactory.createDataSource(pro);

        DataSource source = DataSourceUtil.getSource();
//        建立连接
        Connection conn = source.getConnection();
//          执行sql语句
        PreparedStatement pmt = conn.prepareStatement("SELECT * from getandset where name = ?");
//           将?替换
        pmt.setObject(1,"zhangsan");
//              执行查询
        ResultSet resultSet = pmt.executeQuery();
//              和迭代器的.next()意思差不多,判断下一个是否有数据
        while (resultSet.next()){
//              调用方法获取对应的数据,数据是什么类型就get什么类型,参数是数据所在第几列
            String string = resultSet.getString(1);
            int anInt = resultSet.getInt(2);
            System.out.println(string);
            System.out.println(anInt);
        }
        pmt.close();
        conn.close();//归还连接

    }
}

工具类

package utils;

import com.alibaba.druid.pool.DruidDataSourceFactory;

import javax.sql.DataSource;
import java.io.InputStream;
import java.util.Properties;

public class DataSourceUtil {
    private static DataSource dataSource;
    static {
        try {
            Properties pro = new Properties();
            InputStream is = ClassLoader.getSystemResourceAsStream("druid.properties");
            pro.load(is);
            is.close();
            dataSource = DruidDataSourceFactory.createDataSource(pro);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
    public static DataSource getSource() throws Exception {

        return dataSource;
    }
}

Trouble=Maker
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[实践总结] Java 防止SQL注入的四种方案
张紫娃的博客
08-28 1073
当 id 传值为 1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重。
java防sql注入 转义_StringEscapeUtils的常用使用,防止SQL注入及XSS注入
weixin_30774211的博客
02-26 1721
引入common-lang-2.4.jar中一个方便做转义的工具类,主要是为了防止sql注入,xss注入攻击的功能官方参考文档StringEscapeUtils.unescapeHtml(sname)1.escapeSql 提供sql转移功能,防止sql注入攻击,例如典型的万能密码攻击’ ’ or 1=1 ’ ‘StringBuffer sql = new StringBuffer("select...
Java项目防止SQL注入的四种方案
最新发布
Wewe的博客
05-15 295
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列。
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
防止SQL注入的四种方案
dehuisun的专栏
09-05 9443
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
sql操作工具防止sql注入
weixin_44522680的博客
03-01 226
防止sql注入,因为可能会在F12控制台那里,恶意拼接一些参数,所以要防止注入绕后。比如:在list分页查询的时候,根据某个属性进行排序,先检查字符,防止注入绕后。
JDBC专题(七)-数据库连接 DataSource Pool.docx
05-29
开源数据库连接(第三方企业中使用的连接) 4.1.DBCP数据源 4.2.C3P0连接 4.3.Druid连接 4.3.1.druid连接的使用 1.应用程序直接获取数据库连接的缺点 用户每次请求都需要向数据库获得链接,而...
数据库连接配置使用驱动(sqlserver+mysql)
06-21
数据库连接是现代Web应用程序中不可或缺的组件,它有效地管理数据库连接,提高系统性能并减少资源浪费。在Java环境中,常见的连接实现有Apache的DBCP、C3P0、HikariCP以及Tomcat内置的Tomcat-jdbc-pool等。本...
druid连接工具类及相关jar包
11-01
本资源包含的是Druid连接工具类以及相关的jar包,这些jar包对于配置和使用Druid连接至关重要。 首先,让我们详细了解一下Druid连接的基本概念。数据库连接在初始化时会创建一定数量的数据库连接,并将其...
基于Bonecp连接的jdbc工具类及jar包
08-09
3. 初始化连接:在应用启动时,通过`Class.forName()`加载数据库驱动,然后使用` BoneCPDataSource`类初始化连接。例如: ```java BoneCPDataSource ds = new BoneCPDataSource(); ds.setJdbcUrl("jdbc:mysql...
dbcp.rar数据库连接工具
06-21
本资源“dbcp.rar”提供了一个完整的数据库连接工具包,适用于那些需要频繁与数据库交互的应用程序。 数据库连接,全称Database Connection Pool,是一种管理数据库连接的技术。它的工作原理是预先在内存中创建...
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2217
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
java service 事物_事物处理service层的方法
weixin_32968105的博客
02-24 439
package cn.lijun.service;import java.sql.Connection;import java.sql.SQLException;import cn.lijun.dao.TransferDao;import utils.DataSourceUtils;public class TranseferService {public boolean transfer(Str...
java-数据库连接工具DataSourceUtil.java
weixin_30338461的博客
08-16 243
DataSourceUtil.java package com.gordon.utils; import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import javax.sql.DataSource; ...
SQL注入漏洞攻防
weixin_59616219的博客
12-20 1146
SQL注入漏洞攻防
JDBC入门&SQL注入测试&Druid连接操作
hello world
08-13 854
JDBC入门教程
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3079
sql注入 安全开发 springboot
C# sql参数拼接时,防止sql注入
hzm博客
09-23 758
/// <summary> /// 安全输出字符串(页面内容) /// </summary> /// <param name="s"></param> /// <returns></returns> public static string ToSafe(this string s) { if (s == null) { s ...
JDBC Statement 和 PrepareStatement的用法
piaoshuren的专栏
01-13 3627
写了一个关于提交投票信息的模块,需要同时插入两张表,衡量左右决定用Statement实现; Statement 及PreparedStatement主要区别在于,前者执行一条sql就得编译一次,后者只编译一次;常用后者原因在于参数设置非常方便; 具体代码如下:Connection conn = null;   try {   conn=dataSource.getConnect
加入连接后自定义工具类的步骤,代码体现
04-08
这个问题属于技术问题,可以直接回答。加入连接后自定义工具类的步骤可以概括为以下几步: 1. 引入连接依赖,如c3p0或者druid。 2. 在配置文件中配置连接相关参数,如数据库连接url、用户名、密码等。 3. 在工具类中通过连接获取连接。 4. 在工具类中实现对数据库的操作,如查询、插入、更新等。 5. 在工具类中释放连接。 下面是一个简单的代码示例: ```java public class JdbcUtil { private static ComboPooledDataSource dataSource; static { dataSource = new ComboPooledDataSource(); dataSource.setJdbcUrl("jdbc:mysql://localhost:3306/test"); dataSource.setUser("root"); dataSource.setPassword("password"); } public static Connection getConnection() throws SQLException { return dataSource.getConnection(); } //其他数据库操作方法 //..... public static void release(Connection conn, PreparedStatement pstmt, ResultSet rs) { if(rs != null) { try { rs.close(); } catch (SQLException e) { e.printStackTrace(); } } if(pstmt != null) { try { pstmt.close(); } catch (SQLException e) { e.printStackTrace(); } } if(conn != null) { try { conn.close(); } catch (SQLException e) { e.printStackTrace(); } } } } ``` 希望能够帮助到您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值