SQL注入问题及解决方案及连接池

最新推荐文章于 2024-01-23 14:59:48 发布
最新推荐文章于 2024-01-23 14:59:48 发布
阅读量1.2k 收藏
点赞数
分类专栏: 数据库 文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52717049/article/details/121902989
版权

目录

SQL注入问题及解决方案

SQL注入问题

SQL注入问题解决方案

连接池

连接池的工作原理

连接池的作用

连接池的优势

连接池的使用

以c3p0为例讲解连接池的使用

SQL注入问题及解决方案

SQL注入问题

SQL注入问题:利用非法的SQL拼接来达到入侵数据库的目的

示例:
登录查询操作

public class UserDao {
    boolean doLogin(String name ,String password) {
        try {
            Class.forName("com.mysql.jdbc.Driver");
            Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/java_test", "root", "******");
            System.out.println("连接成功");
            Statement statement = connection.createStatement();

   //正确的查询语句
            String sql = "select * from user where name = '"+name+"' and password = '"+password+"'";
            ResultSet resultSet = statement.executeQuery(sql);

            if(resultSet.next()) return true;

            // 关闭资源
            resultSet.close();
            statement.close();
            connection.close();

        } catch (Exception e) {
            System.out.println("连接失败");
            e.printStackTrace();
        }


        return false;
    }

 传入正确的参数,则返回true,查询成功;

 public static void main(String[] args) {
        UserDao userDao = new UserDao();
        boolean lisi = userDao.doLogin("lisi", "200");
        System.out.println(lisi);
    }

 

若参数错误,如密码错误

boolean lisi = userDao.doLogin("lisi", "2000");

 

 若插入错误的SQL语句,即使参数传入错误也能查询成功

String sql = "select * from user where name = '"+name+"' and password  = '"+password+"'";

UserDao userDao = new UserDao();
boolean lisi = userDao.doLogin("lisi ’#", "2000");

 

 这就是SQL注入问题了

在上述代码中,是使用用户名和密码来和SQL进行拼接查询数据库,查询操作是需要用户名和密码正确才能执行成功。

本应该通过sql的非法拼接改变SQL语句的语义,就达到了入侵数据库的目的 。

当参数变成  “ lisi ’# ” 时,“‘#”会将后面的内容注释掉,就不在判断passwd是否正确,因此对应登录操作给定用户名,不知道密码情况下也能完成登陆

SQL注入问题解决方案

使用preparedStatement代替Statement

String sql = "select * from user where name = ? and password = ?";
            PreparedStatement preparedStatement = connection.prepareStatement(sql);
            preparedStatement.setString(1,name);
            preparedStatement.setString(2,password);
            ResultSet resultSet = preparedStatement.executeQuery();

            if(resultSet.next()) return true;

boolean lisi = userDao.doLogin("lisi'# ", "2000");

  

在创建preparedStatement对象时,就将sql语句传入,进行预编译,prepared Statement采用预编译处理机制,SQL和参数分别传递,SQL上参数的位置通过占位符'?'处理;preparedStatement . setString起始位置为1 ,当传入参数时,特殊值就不会被起作用了。

连接池

连接池的工作原理

数据库连接池的基本思想:为数据建立一个连接池,预先在池中放入一定数量的连接,当有数据库操作时,在池中获取一个空闲的连接来支持数据库的操作,当当前的数据库操作完成后,将连接放回池中。

连接池的作用

在JDBC请求MySQL数据库的操作都要进行连接、释放的过程,在并发量大的情况下,频繁的连接和释放势必会消耗系统的性能。可以使用连接复用的方式让来连接重复使用。

连接池的优势

1.资源复用

2.更快的响应速度

3.新的资源分配手段

4.统一的连接关系,避免数据库连接泄露

连接池的使用

1.导入连接

2.参数配置

3.通过连接池获取连接

4.进行SQL操作

以c3p0为例讲解连接池的使用

1.引入c3p0连接

        <!--c3p0连接池-->
        <dependency>
            <groupId>com.mchange</groupId>
            <artifactId>c3p0</artifactId>
            <version>0.9.5.2</version>
        </dependency>

2.给定c3p0的配置文件 :c3p0-config.xml (名字不能修改)

<?xml version="1.0" encoding="UTF-8"?>
<c3p0-config>
    <!--配置连接池mysql-->
    <named-config name="mysql">
        <property name="driverClass">com.mysql.jdbc.Driver</property>
        <property name="jdbcUrl">jdbc:mysql://localhost:3306/ssms</property>
        <property name="user">root</property>
        <property name="password">123456</property>
        <!-- 初始化连接数 -->
        <property name="initialPoolSize">10</property>
        <!--最大空闲时间,多少秒内未使用则连接被丢弃。若为0则永不丢弃。Default: 0 -->
        <property name="maxIdleTime">30</property>
        <!--连接池中保留的最大连接数。Default: 15 -->
        <property name="maxPoolSize">100</property>
        <!-- 最小连接数 -->
        <property name="minPoolSize">10</property>
    </named-config>

</c3p0-config>

3.连接池编码

 //设置数据源DataSource
        ComboPooledDataSource dataSource = new ComboPooledDataSource("mysql");

        try {
            //获取Connection
            Connection connection = dataSource.getConnection();

            //获取Statement对象
            Statement statement = connection.createStatement();

            String sql = "select * from user where id = 25";
            ResultSet resultSet = statement.executeQuery(sql);

            while (resultSet.next()) {
                Integer id1 = resultSet.getInt("id");
                String account = resultSet.getString("account");
                String name = resultSet.getString("name");
                System.out.println("Id:" + id1 + ",name:" + name);
            }


        } catch (SQLException e) {
            e.printStackTrace();
        }

Angety
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAVA jdbc(数据库连接池)SQL注入
javazaixian的专栏
08-24 902
1.SQL注入的概念…   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击.当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。如果代码使用存储过程,而这些存储
SQL注入问题解决方案
weixin_30662539的博客
12-24 157
SQL注入 用户输入的内容, 在SQL语句拼接过程中, 完成了一条逻辑发生变化的新的SQL语句 ! 例如: 原SQL语句拼接为: String sql = "select id from user15 where username='"+user.getUserName()+"' and password='"+user.getPassWord()+"'"; 用户输...
JAVA jdbc(数据库连接池)学习笔记(二) SQL注入
weixin_34406061的博客
05-20 88
PS:今天偶然间发现了SQL的注入...所以就简单的脑补了一下,都是一些简单的例子...这篇写的不怎么样...由于自己没有进行很深的研究... 学习内容: 1.SQL注入的概念...   所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴...
Spring注入dbcp(数据库连接池)
kaipi1027的专栏
06-04 1284
beans.xml: com.mysql.jdbc.Driver jdbc:mysql://localhost:3306/hibernate root zk19921027 Userdaoimpl: @Component("userdao") //这里指定加入userservice中的userda
SQL 注入漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
01-23 9358
SQL 注入漏洞原理以及修复方法
druid数据库连接池jar包
05-19
总的来说,Druid数据库连接池是一个强大且全面的数据库连接池解决方案,它在性能监控、安全性以及易用性方面表现出色,是Java Web开发中不可或缺的工具之一。通过合理配置和使用,可以大大提高系统的稳定性和效率。
PHP中怎样防止SQL注入分析
10-25
本文主要针对PHP语言环境下,如何防范SQL注入攻击提供深入分析及解决方法。 首先需要了解什么是SQL注入SQL注入是黑客通过在数据库查询中注入恶意SQL代码,试图破坏或操纵数据库操作的行为。在PHP中,如果开发者...
德鲁伊数据库连接池jar包免费下载地址
08-21
2. **监控统计**:Druid提供了一套完整的监控解决方案,能够实时监控到连接池状态、SQL执行情况等信息。这对于定位性能瓶颈、排查问题十分有帮助。 3. **SQL防攻击**:Druid内置了SQL防攻击机制,能够有效防止SQL...
数据库连接池的安全性:防止SQL注入和数据泄露,保护数据安全
![数据库连接池的安全性:防止SQL注入和数据泄露,保护数据安全]...%5B%5D%28https%3A%2F%2Fp3-juejin.byteimg.com%2
JDBC的基本操作 SQL注入 数据库连接池 数据库连接 常用方法 MyBatis连接数据库 JDBC讲解第一篇
01-18 176
看了这篇文章你可以 什么是JDBC JDBC最原始的操作步骤 SQL注入是什么 常用statement接口的方法 以及这些方法的区别 连接数据库的参数是什么、有什么作用 数据库连接池的使用c3p0和德鲁伊数据库连接池的使用 MyBatis框架连接数据库 以及上述操作的细节 什么是JDBC JDBC就是用于连接数据库的东西 JDBC最原始的操作步骤 加载驱动 建立连接 执行SQL语句 处理返回结果 关闭对象和连接 加载驱动 初学者要注意C是大写的哦 //加载驱动 Class.forName("
JDBC和数据库连接池: SQL注入.预处理.批处理.德鲁伊.Apache-DBUtils
jason_bone_的博客
02-21 727
JDBC 概述 基本介绍 模拟JDBC public class TestJdbc { public static void main(String[] args) { JdbcInterface jdbcInterface = new MysqlJdbcImpl(); //完成对mysql的操作 jdbcInterface.getConnection(); jdbcInterface.crud(); jdbcInt
JDBC编程,SQL注入连接池
如何心安理得的在老板眼皮下摸鱼
03-23 158
JDBC概念 JDBC(Java Data Base Conection)是java中提供的一套标准的应用编程接口,用来连接Java编程语言和数据库 JDBC常用组件: DriverManger:数据库驱动程序的管理类,匹配java程序到数据库的驱动的协议(mysql,sqlerver...),识别出某个子协议与数据库服务器进行通信 Driver:处理与数据库服务器通信的,主要是DriverManger管理的对象,指具体的连接驱动(MYSQL驱动) Connection:接口形式,接触数据库的所有
day10:JDBC、SQL注入、防止注入、数据库插入时间、IDEA连接数据库、ACID原则、JDBC事务、连接池、dbcp、c3p0、druid,dbutil工具类、springJDBC
m0_45209551的博客
03-28 1178
10、JDBC(重点) 驱动:声卡、显卡、数据库 10.1数据库驱动 我们的程序会通过数据库驱动,和数据库打交道 10.2、JDBC SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库的)规范,俗称JDBC这些规范的实现由具体的厂商去做~对于开发人员来说,我们只需要掌握JDBC接口的操作即可! java.sql javax.sq 导入mysql-connector-java-5.1.49 10.3、第一个JDBC程序 1.建立数据库 CR
线上使用阿里Druid连接池首次连接MySQL异常问题
柳下听雨的博客
02-26 9030
线上使用阿里Druid连接池首次连接MySQL异常问题问题描述最近一段时间线上系统表现出一个这样的现象:每天第一次登录系统不成功,如果再次点击登录即可登录成功。这种现象不是偶尔发生,后来发现每天来第一次登录都会有此问题。分析现象开始以为是登录接口存在问题,于是从登录接口开始排查,经过对登录接口排查,发现登录不成功时接口返回数据库空。经过反复测试,发现问题不是每天第一次登录才会出现,而是如果系统20分
SQL注入分级通关(sqli-labs)
魔仙棒棒之主的博客
05-16 1920
SQL注入分级通关
sql注入详解
m0_46571665的博客
05-24 3310
# sql注入详解 ## SQLI介绍 SQLI,sql injection,我们称之为sql注入sql(Structured Query Language),叫做结构化查询语句。在我们的应用系统使用 sql 语句进行管理应用数 据库时,往往采用拼接的方式形成一条完整的数据库语言,而危险的是,在拼接 sql 语句的 时候,我们可以改变 sql 语句。从而让数据执行我们想要执行的语句,这就是我们常说的 sql 注入。 ## 一、漏洞原理分析 sql注入的原理通俗的来说,就是通关SQL命令将web表单
SQL注入详解(主要针对MySQL)
Rockboy777的博客
08-09 479
权限不足时也受影响;join绕过,如:union select 1,2,3 -> union select from (select 1)a join (select 2) join (select 3)substr()和mid()使用from for,如substr(database() from 1 for 1)表示将字符串从1位置截取长度1,mid()同理。
SpringBoot整合Druid数据库连接池&多数据源&注解切换&动态添加
hello,word!
11-30 5405
*** 自定义多数据源切换注解* 优先级:先方法,后类,如果方法覆盖了类上的数据源类型,以方法的为准,否则以类上的为准*/@Inherited/*** 切换数据源名称*/
SQL注入以及使用PreparedStatement解决SQL注入
weixin_44250483的博客
04-15 650
SQL注入 SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。 使用PreparedStatement防止SQL注入SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值 PreparedStatement会把所有用来替换占位符的都当成字符串处理 package com.jing.jdbc; import com.jing.utils.JDBCUtils; import
Java学习:JDBC预处理对象与C3P0连接池实战
为了解决这个问题,文章推荐使用PreparedStatement,因为它会将参数与SQL语句分开处理,有效避免了SQL注入连接池技术,如C3P0,是管理数据库连接的有效方法,它能够减少频繁创建和关闭连接的开销。C3P0是一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值