JAVA预防SQL注入问题

已于 2024-03-05 15:16:33 修改
阅读量337 收藏 8
点赞数 8
文章标签: 数据库
于 2024-03-05 15:14:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xMakubex/article/details/136479770
版权

JAVA预防SQL注入问题

一、SQL注入例子

@Test
public void testLogin() throws  Exception {
    //1.1 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以将127.0.0.1:3306/简化书写成/
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "sjdljfld";
    String pwd = "' or '1' = '1";
    // 拼接sql,就是这里出了问题
    String sql = " select * from tb_user where username = '"+name+"' and password = '"+pwd+"' ";
	//变成了密码等于空或1=1
    '"+pwd+"'变成了' ' or '1' = '1 '
	select * from tb_user where username = 'sjdljfld' and password = '' or '1' = '1'

   
    // 获取stmt对象
    Statement stmt = conn.createStatement();
    // 执行sql
    ResultSet rs = stmt.executeQuery(sql);
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    stmt.close();
    conn.close();
}

二、解决SQL注入

@Test
    public void testLogin() throws ClassNotFoundException, SQLException {
        //1.注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
 
        //2.获取连接
        String url = "jdbc:mysql://127.0.0.1:3306/test";
        String userName = "";
        String password = "";
        Connection conn = DriverManager.getConnection(url, userName, password);
 
        //接受用户输入的用户名和密码
        String name = "sjdljfld";
        String pwd = "' or '1' = '1";
        //定义SQL
        String sql = "select * from tb_user where username = ? and password = ?";
 
        //获取statement对象,将conn.createStatement换成conn.prepareStatement
        PreparedStatement pstmt = conn.prepareStatement(sql);
        
 
        //设置?的值.pstmt.set数据类型(第几个问号,参数);
        pstmt.setString(1,name);
        pstmt.setString(2,pwd);
        //转义完成后再拼接就变成了
       select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'
		//在这个过程中,不是直接拼接,而是确保值被正确转移后再赋值.
         //如sql注入的' or '1' = '1中的'会变成转义字符,所以这里面的'不会产生单双引号的sql注入问题
           
        //执行sql
        ResultSet rs = pstmt.executeQuery();
 
        //判断登录是否成功
        if(rs.next()){
            System.out.println("登录成功");
        }else {
            System.out.println("登录失败");
        }
 
        //释放资源
        rs.close();
        pstmt.close();
        conn.close();
    }
xMakubex
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Java防止SQL注入的几个途径
12-14
JavaSQL注入,最简单的办法是杜绝SQL拼接,经验和技巧之谈,不错推荐。
推荐几个Java项目防止SQL注入的方法
Javaの甘乃迪的博客
10-06 722
Java项目防止SQL注入的几种方案
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
2401_83977696的博客
04-29 702
千千万万要记得:多刷题!!多刷题!!之前算法是我的硬伤,后面硬啃了好长一段时间才补回来,算法才是程序员的灵魂!!!!篇幅有限,以下只能截图分享部分的资源!!(1)多线程(这里以多线程为代表,其实整理了一本JAVA核心架构笔记集)(2)刷的算法题(还有左神的算法笔记)(3)面经+真题解析+对应的相关笔记(很全面)(4)视频学习(部分)ps:当你觉得学不进或者累了的时候,视频是个不错的选择在这里,最后只一句话:祝大家offer拿到手软!!0804)]
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9548
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
java】JDBC中的SQL注入问题和解决方案
DreamSun的博客
03-16 871
在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译。导致SQL语句编译后的条件为true,一直得到正确的结果。这种现象就是SQL注入。可以防止sql注入由于使用了预编译机制,执行的效率要高于Statementsql语句使用?形式替代参数,然后再用方法设置?的值,比起拼接字符串,代码更加优雅.语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql。
解决SQL注入问题
heliuerya的博客
01-23 1370
解决SQL注入问题
JavaSQL注入的防范与解决方法
hymua的博客
02-05 1389
SQL注入是一种常见而危险的安全漏洞,但通过采取适当的防范措施,可以有效地保护应用程序免受这种类型的攻击。在编写Java应用程序时,遵循上述的最佳实践是确保数据库安全的关键步骤。通过使用预编译语句、ORM框架、输入验证和过滤以及最小化数据库权限,可以显著提高应用程序的安全性,保护用户的数据不受损害。
Java面试题解析之判断以及防止SQL注入
08-28
3. 绑定变量,使用预编译语句:实际上,绑定变量使用预编译语句是预防SQL注入的最佳方法,使用预编译的SQL语句语义不会发生改变。在SQL语句中,变量用问号?表示,黑客即使本事再大,也无法改变SQL语句的格式,从...
java防止sql注入.pdf
12-09
6. **安全的参数化查询**:虽然此示例没有直接展示,但在实际应用中,预防SQL注入的最佳实践是使用预编译的SQL语句,如Java的`PreparedStatement`,它可以自动处理字符串转义,有效地防止SQL注入。 7. **输入长度...
Sql注入原理简介_动力节点Java学院整理
09-09
- 使用ORM(对象关系映射)框架,如Hibernate,它们在一定程度上能自动处理SQL注入问题。 - 应用输入验证,确保数据类型和长度符合预期。 - 最小权限原则,限制数据库连接的权限,防止攻击者一旦获取连接后能执行...
避免sql注入_动力节点Java学院整理
08-29
最后,在Java Web应用程序中,可以采用预编译语句集来解决SQL注入问题。预编译语句集内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。使用预编译语句集可以提高代码的可读性和可维护性,提高性能,极大地...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。...攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。...
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8306
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
Java项目防止SQL注入的四种方案
学IT,找陈寒
10-10 9203
SQL注入是一种严重的安全漏洞,但通过采取适当的预防措施,可以有效地防止它。在Java项目中,使用预编译语句、输入验证和过滤、ORM框架以及安全的数据库访问库是防止SQL注入攻击的四种常见方法。选择适合你的项目的方法,并始终保持警惕,以确保你的应用程序免受潜在的威胁。😊🙏Java面试技巧Java面试八股文 - 掌握面试必备知识(目录篇)Java学习路线2023年完整版Java学习路线图AIGC人工智能Chat GPT是什么,初学者怎么使用Chat GPT,需要注意些什么Java实战项目。
防止SQL注入
AgonyAngela的博客
03-30 2045
防止SQL注入
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
java修复sql注入问题常用方法
BHSZZY的博客
10-10 1594
1.把xml里的$换成#2.部分不好换的地方,尝试使用bind标签,看能否实现需求。
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2219
javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码
java网站sql注入检查和防护
07-08
Java网站中,预防SQL注入攻击是非常重要的安全措施。下面是一些常见的检查和防护方法: 1. 使用参数化查询:使用预编译的SQL语句和参数绑定来执行数据库操作,而不是直接将用户输入的数据拼接到SQL语句中。这可以...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xMakubex

各位赏口饭吃吧!1分也是爱!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值