JDBC中的SQL注入问题

最新推荐文章于 2020-09-03 14:55:43 发布
最新推荐文章于 2020-09-03 14:55:43 发布
阅读量476 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wht18720080085/article/details/54571193
版权

在Java中执行SQL语句的过程中,由于用户提供的信息中含有SQL关键字,进行编译的过程中,会扭曲原SQL语句的含义,所以我们应当避免SQL语句的注入,那么如何避免呢?

 先定义SQl语句框架,对SQL语句进行预先编译,只编译一次,然后再去接收用户提供的信息;
 *    用户提供的信息即使含有SQL语句的关键字,这些关键字不参与这次SQL语句的编译,是不起作用的。
 *    采用这种方式可以解决SQL注入问题
 *    有的系统中是需要SQL注入的,这个时候必须使用java.sql.Statement;
 *    有的系统不需要SQL注入的,这个时候必须使用java.sql.PreparedStatement;

 PreparedStatement的优点:
 *    1.可以防止SQL注入;
 *    2.SQL语句对Statement来说是编译一次执行一次;编译N次执行N次。
 *        但SQL语句对于PreparedStatement来说是编译一次,执行N次。所以PreparedStatement执行效率更高
 *      3.PreparedStatement是类安全型。【编译期检查数据类型】

改进后等用户登陆代码如下:

public class JDBCTest06 {

	public static void main(String[] args)throws Exception {
		BufferedReader br=new BufferedReader(new InputStreamReader(System.in));
		System.out.println("请登陆");
		System.out.println("用户名:");
		String username=br.readLine();
		System.out.println("密码:");
		String userpwd=br.readLine();
		br.close();
		//调用登陆方法登陆
		login(username,userpwd);
		
	}

	public static void login(String username, String userpwd) {
		Connection conn=null;
		PreparedStatement ps=null;
		ResultSet rs=null;
		boolean LoginSuccess=false;
		try {
			//1注册驱动
			Class.forName("com.mysql.jdbc.Driver");
			//2获取连接
			conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/bjpowernode","root","123");
			//3获取预编译的数据库对象
			String sql="select * from tbl_user where username=? and userpwd=?";//先定义SQL语句的框架
			ps=conn.prepareStatement(sql);//执行到此处,现将SQL语句框架进行预编译
			//给??复制
			ps.setString(1,username);
			ps.setString(2, userpwd);
			//4执行SQL语句
			rs=ps.executeQuery();
		//5处理结果集
		   if(rs.next()){
			   LoginSuccess=true;
		   }
			
		} catch (Exception e) {
			e.printStackTrace();
		}finally{//6释放资源
			if(rs!=null){try {
				rs.close();
			} catch (SQLException e){
				e.printStackTrace();
			}}
			if(ps!=null){
				try {
					ps.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			if(conn!=null){
				try {
					conn.close();
				} catch (SQLException e) {
					e.printStackTrace();
				}
			}
			
		}
		System.out.println(LoginSuccess?"登录成功":"登陆失败");

	}

}

繁华落叶草
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC-SQL注入攻击问题及解决方案
Fly_Fly_Zhang的博客
07-07 767
什么是SQL注入: 由于dao层执行的SQL语句是拼接出来的,其一部分内容是用户从用户端输入的,当传入数据包含SQL关键字时,就有可能通过这些关键字来改变SQL的语义,从而执行一些特殊的操作,这就称为SQL注入问题SQL注入攻击演示: 首先我们创建一张用户表,里面包含用户名和密码。 mysql> select * from user; +----------+----------+ ...
jdbc——sql注入
m0_72960906的博客
10-31 941
在用户输入的数据SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。上面案例代码,当你的用户名为 abc' or 1=1;# 密码为123,拼接到SQL语句,变成如下效果:此SQL语句or 后面1=1永远正确,#后面的成了注释,所以这条语句会将表所有的数据查询出来,然后再做数据判断的时候,就会得到正确结果,从而说用户名和密码正确,登录成功。
JDBC 如何有效防止 SQL 注入
weixin_33708432的博客
12-21 525
转载请注明出处:http://blog.csdn.net/linglongxin24/article/details/53769810 本文出自【DylanAndroid的博客】 #JDBC如何有效防止SQL注入 在我们平时的开发,作为新手写JDBC很有可能忽略了一点,那就是根本没有考虑SQL注入问题,那么,什么是SQL注入,以及如何防止SQL注入问题。 一什么是SQL注入 ...
mysqljdbc连接数据库和sql注入问题
bighuan的博客
03-09 1396
一,概述 可能是自己的记忆力太差了,经常忘记一些很重要的知识点,记得个大概,等要用的时候就去找,结果还找不到。干脆,记博客里,怎么都找的到。这篇博客主要就是关于Jdbc(java database connectivity)和MySql的,记录如何连接数据库及插入数据等等。 二,工具及准备工作 MyEclipse10,mysql驱动jar包(我用的是这个版本mysql-connect
JDBC解决sql注入问题
muli
01-15 1237
JDBC解决sql注入问题
JDBC如何有效防止SQL注入
12-14
在Java的JDBC编程,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...
Mybatis防止sql注入的实例
08-30
这样可以避免sql注入问题。 Mybatissql语句是一个具有“输入+输出”功能,类似于函数的结构,例如:”int”> select id,title,author,content from blog where id=#{id} 这里,parameterType标示了输入的参数...
sqljdbcsqljdbc4 sqlserver最新驱动
04-21
在实际使用时,要注意安全最佳实践,比如避免SQL注入,使用预编译的PreparedStatement,及时关闭数据库连接,以及考虑使用连接池以提高性能和资源管理。 7. 兼容性: 这些驱动通常兼容各种SQL Server版本,包括...
sqljdbc42 jdbc for java
07-19
3. 参数化查询:避免SQL注入攻击,应使用PreparedStatement进行参数化查询。 4. 使用JDBC 4.2新特性:如利用try-with-resources语法自动关闭资源,简化代码。 总结,SQLJDBC42作为Java与SQL Server之间的关键接口,...
JAVA代码审计之SQL注入
06-14
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证: 1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来防范sql注入 2、在使用Mybatis框架...
JDBC-SQL注入问题
Neuclil的博客
10-12 552
当用name作为参数时, 如果名字里面含有or 等带有歧义的情况时, 或导致错误。比如String name = "or 1 or "将导致全部的记录都会被输出。这种错误叫做sql注入。我们需要将过滤的工作交给数据库来处理。即PreparedStatement ps. 例子如下: PreparedStatement ps = null; String sql = "sele
JDBC碰到的SQL安全问题 - Sql注入
key_768的博客
04-05 270
Sql注入问题 学习JDBC的过程学到了一个Sql的安全问题 一个login表 写一个登录程序: package com.company.JDBC; import javafx.scene.transform.Scale; import java.sql.*; import java.util.Scanner; public class test { private static...
防止SQL注入
weixin_33873846的博客
03-28 190
参考:http://hi.baidu.com/wangyue06/item/c00c824b35cf740ae835049c 1.传统JDBC,采用PreparedStatement 。预编译语句集,内置了处理SQL注入的能力 String sql= "select * from users where username=? and password=?"; //如果把?改为:u...
JDBCSQL注入问题小结
xmy1208945213的博客
09-03 141
SQL注入问题 ​在拼接sql时,有一些sql的特殊关键字参与字符串的拼接,会造成安全问题 1.例如: 输入的用户名随意,输入的密码:a’ or ‘a’ = ‘a 定义sql的代码如下: // 定义sql String sql = "select * from user where username = '" + username + "' and password = '" + password + "'"; ​ 如果根据所给例子输入随意的用户名和密码a’ or ‘a’ = ‘a,则最终执行的sq
JDBC 入门小结之sql注入及防止
sinat_36700834的博客
11-20 2862
JDBC是Java对数据库进行操作的一个桥梁. 借助数据库提供的数据驱动, 加上要操作的数据库语言, 执行数据库语句之后就可以对数据库里面的记录进行增 删 改 查(crud)操作了.
jdbcsql注入
a8153285的博客
04-23 241
转载于:https://www.cnblogs.com/Koma-vv/p/10755273.html
JDBC:使用PreparedStatement防止SQL注入
热门推荐
javy_codercoder的博客
10-20 1万+
1.关于SQL注入 什么是SQL注入: 由于jdbc程序在执行的过程sql语句在拼装时使用了由页面传入参数,如果用户恶意传入一些sql的特殊关键字,会导致sql语句意义发生变化,这种攻击方式就叫做sql注入,参考用户注册登录案例。   首先看一下以下代码: String sql = "select* from users where username='" + userName
JAVA-JDBC解决SQL注入问题
sinat_41883676的博客
02-11 300
只要用户提供信息不参与SQL语句的编译过程,问题就解决了。 即使用户提供的信息含有SQL语句的关键字,但是没有参与编译,不起作用。 PreparedStatement预操作 使用java.sql.PreparedStatement,其继承了java.sql.Statement PreparedStatement是属于与编译的数据库操作对象。 import java.sql.*; publi...
jdbc sql注入
最新发布
09-30
SQL注入是一种安全漏洞,指的是攻击者通过向用户输入的数据注入恶意的SQL代码,从而执行未经授权的数据库操作。攻击者可以通过修改原始的SQL查询或者添加额外的查询来绕过应用程序的身份验证和授权机制,进而获取敏感信息或者破坏数据库的完整性。 为了防止SQL注入,可以采取以下方法: 1. 使用预编译的SQL语句:预编译SQL语句的参数使用占位符(例如?)代替实际的参数值。在执行SQL语句之前,必须为每个参数提供值。这可以防止恶意用户通过在参数插入SQL代码来修改原始的SQL语句。 2. 输入验证和过滤:在接收用户输入的数据时,需要对其进行验证和过滤,确保只接受有效的数据。可以使用正则表达式或者特殊字符过滤函数来检查输入是否符合预期的格式,并且避免执行任何潜在的危险操作。 3. 最小权限原则:在数据库,为应用程序使用的数据库用户分配最小的权限。这样即使发生了SQL注入攻击,攻击者也只能在权限范围内进行操作,无法对整个数据库造成破坏。 4. 输入参数化:尽量使用参数化的查询,而不是将用户输入直接拼接到SQL语句。这样可以避免将用户输入的数据作为SQL代码的一部分执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值