PreparedStatement预编译解决sql注入攻击

最新推荐文章于 2023-06-08 16:01:05 发布
最新推荐文章于 2023-06-08 16:01:05 发布
阅读量297 收藏 1
点赞数
分类专栏: JDBC 文章标签: sql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52851967/article/details/122426614
版权

1、PreparedStatement的介绍

  • 预编译sql语句的执行者对象。在执行sql语句之前,将sql语句进行提前编译。明确sql语句的格式后,就不会改变了。剩余的内容都会认为是参数!参数使用?作为占位符

  • 为参数赋值的方法:setXxx(参数1,参数2);

    • 参数1:?的位置编号(编号从1开始)

    • 参数2:?的实际参数

  • 执行sql语句的方法

    • 执行insert、update、delete语句:int executeUpdate();

    • 执行select语句:ResultSet executeQuery();

2、PreparedStatement的使用

    //定义必要信息
    Connection conn = null;
    PreparedStatement pstm = null;
    ResultSet rs = null;

        //1.获取连接
        conn = JDBCUtils.getConnection();
        //2.创建操作SQL对象
        String sql = "SELECT * FROM user WHERE loginname=? AND password=?";
        pstm = conn.prepareStatement(sql);
        //3.设置参数
        pstm.setString(1,loginName);
        pstm.setString(2,password);
        System.out.println(sql);
        //4.执行sql语句,获取结果集
        rs = pstm.executeQuery();

 

悠然予夏
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PreparedSatement预编译处理对象、解决SQL注入问题
huangyh技术栈
08-26 887
1.1 SQL注入问题: SQL攻击的原理:通过 ' 或者是 or 语句去改变SQL的判断条件。 JDBC连接mysql数据库实现登录注册功能实际上是存在SQL攻击问题的,别人可以使用任意的用户名以及密码进行登录。  例如: 用户名:bbb'or' 1=1 密码:sahfsf ' or '1=1 我们让用户输入的密码和SQL语句进行字符串拼接。用户输入的内容作为了SQL语句语法的...
JDBC-03-笔记
qq_24410589的博客
05-31 130
SQL防注入攻击(PreparedStatement) 1. sql注入攻击的演示 2.sql注入攻击的原理 3. PreparedStatement的介绍 4. PreparedStatement的使用 5. 使用PreparedStatement优化student表的CRUD
[20][04][20] SQL 预编译防止 SQL 注入
安全新司机
01-10 2871
文章目录1. 预编译的作用1.1 提高效率1.2 防止 SQL 注入2. 预编译的实现原理2.1 mysql预编译2.2 mybatis 是如何实现预编译 1. 预编译的作用 1.1 提高效率 数据库接受到 sql 语句之后,需要进行词法和语法解析校验,优化 sql 语句,制定执行计划.这需要花费一些时间.但是很多情况,我们的一条 sql 语句可能会反复执行,或者每次执行的时候只有个别的值不同 (比如 query 的 where 子句值不同,update 的 set 子句值不同,insert 的 val
防止sql注入方法之预编译
最新发布
波波豆奶
06-08 1045
PreparedStatement预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
利用预编译SQL注入
m0_51428325的博客
12-26 914
在做CTF时遇到这样一个题目,注入点过滤了SELECT和.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式: id=1';show tables;%23 但是没法查询字段,于是就可以利用构建预编译语句来绕过过滤。 利用此方法的前提是支持多语句查询。 先来谈谈什么叫预编译,实际上它经常被用来防止SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,预编译的目的就在于解决这一点。 我们常见的有关防止SQL注入预编译手段都是基于后端代码的,即PHP或J
JSP 防范SQL注入攻击分析
10-30
总结来说,防范SQL注入攻击需要开发者对SQL注入的原理有深刻的认识,并在编写代码时采取多层防护措施,包括使用预编译SQL语句、实施严格的输入验证和清洗、以及合理配置数据库的错误信息提示。通过综合运用这些...
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
2. **防止SQL注入**:PreparedStatement通过设置参数的方式执行SQL,可以有效地防止SQL注入攻击。因为参数是作为占位符处理,而不是直接拼接到SQL字符串中,从而避免了恶意用户输入可能导致的语法错误或安全风险。 ...
SQL注入漏洞过程实例及解决方案
12-14
这个修改后的查询语句总是返回至少一条记录,即使密码错误,用户也可以成功登录,这就是SQL注入攻击的后果。 为了解决这个问题,应当避免直接拼接SQL字符串。推荐使用预编译的`PreparedStatement`,它可以有效防止...
SQL注入原理与解决方法代码示例
09-09
- **预编译语句(PreparedStatement)**:Java的JDBC提供预编译语句接口,可以有效地防止SQL注入预编译语句将查询模板与用户输入分开,确保用户输入的数据不会被解释为SQL代码。例如: ```java String query = ...
mybatis防止SQL注入的方法实例详解
08-27
使用预编译语句可以避免 SQL 注入攻击,因为攻击者无法通过构造特殊的输入来 Inject恶意的 SQL 语句。 存储过程 存储过程是防止 SQL 注入的第二种方式。存储过程是一组完成特定功能的 SQL 语句集,经编译后存储在...
SQL注入以及使用PreparedStatement解决SQL注入
weixin_44250483的博客
04-15 638
SQL注入 SQL注入是指web应用没有检查用户输入数据的合法性,进而无法阻止用户的非法输入,用户通过输入在SQL查询语句中添加额外SQL语句,达到自己查询更多数据的目的。 使用PreparedStatement防止SQL注入SQL语句中使用占位符?来代替用户输入的值,然后再按顺序为占位符赋值 PreparedStatement会把所有用来替换占位符的都当成字符串处理 package com.jing.jdbc; import com.jing.utils.JDBCUtils; import
JDBC中使用preparedStatement解决SQL注入的问题
sunny_wwu的博客
04-19 1244
今天学习JDBC的时候老师讲到了使用Statement会产生sql注入的问题,并且讲了解决方案,所以写在这里和大家一起学习
PreparedStatement 模拟并解决sql注入
cgj-horizons
08-01 423
1在获取PrepareStatement对象时,将sql语句发送给mysql服务器,进行检查,编译(这些步骤很耗时)sql注入通过操作输入事先定义好的sql语句,用以达到执行代码达到对服务器进行攻击的方法。PrepareStatement对象setXXX(参数1,参数2)给?通过Connection对象获取,并传入对象的sql语句。如setInt(参数1,参数2)3如果sql模板一样,则只需进行一次检查,,编译。预编译sql语句执行预防sql注入问题。Sql语句中的参数,使用?...
预编译解决sql的注入攻击PrepareStatement
李卫康的博客
06-29 756
SQL注入攻击:由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击1.登陆的数据库实现代码:public User findUserByUserNameAndPassword(String username, String p...
preparedstatement打印sql语句_SQL注入攻击,吓死宝宝了
weixin_39526872的博客
12-05 356
SQL注入攻击,是黑客对数据库进行攻击的常用手段之一。那么,什么是SQL注入SQL注入是怎么发生的?如何防止SQL注入?我们今天就来了解一下!总结:一、所谓SQL注入,是将客户机提交或Web表单递交的数据,拼接成SQL语句字符串时。如果客户端提交的数据有非法字符或SQL语句关键字时,会造成执行的SQL语句语法错误,或执行结果不正确的情况。通过SQL注入,黑客可以最终达到欺骗服务器,执行恶意的SQ...
55.抵御SQL攻击SQL预编译机制)
qq_41917061的博客
09-06 182
SQL注入的危害 由于SQL语句是解释型语言,所以在拼接SQL语句的时候,容易被注入恶意的SQL语句 比如下面的SQL语句: id = "1 OR 1=1" sql = "delete from score where id=" + id 相当于 sql = "delete from score where id=1 OR 1=1" or后面的语句为True,也就是说where后面的始终都是True,整个score表会被删除 例如: 下面的执行后,整个表中数据都会被删除 import mysql.
PreparementStatement接口
weixin_30883311的博客
05-10 118
1.SQL注入问题在以前过程中,总是采取拼接SQL语句的方式,来实现数据的增删改查! String Sql=select * from user where username="" and password="" 由于没有对拼接的字符进行检查,很容易遭受到恶意的攻击,例如变成如下操作。 select * from user where username='老李' or '1'='1' and...
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
MySQL-SQL注入问题(预编译处理)
Just__2009的博客
10-19 835
当服务器向数据发送访问请求,在sql语句中夹杂特殊字符,在与查询语句进行拼接时,导致sql语句产生了歧义。 当用户登陆时,加入输入的帐号或密码并不存在,但是在帐号或密码中输入如下: a' or 'a'='a 此时结果会显示为登陆成功。 原查询语句: select name from users where username=‘帐号’ and password = ‘密码’ 拼接后 select name from users where username=‘123’ and password = ‘a’
Oracle开发人员防范SQL注入攻击指南
"Oracle开发人员SQL注入攻击入门教程" 这篇文档详细介绍了Oracle开发人员需要知道的关于SQL注入攻击的相关知识,旨在提高对这种攻击形式的认识并提供防御策略。以下是主要的知识点: 1、**SQL注入概述** SQL注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

悠然予夏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值