java:PreparedStatement可以防止sql注入的原因

最新推荐文章于 2024-05-13 07:56:29 发布
最新推荐文章于 2024-05-13 07:56:29 发布
阅读量1w 收藏 44
点赞数 30
分类专栏: 学习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlantian/article/details/81806827
版权

  java中对数据库访问的方法有多种。以操作MySql数据库为例。

 

  方法一:创建Statement对象,调用对象的execute(String)、executeQuery(String)等函数执行String字符串的sql语句。

         

Class.forName(com.mysql.jdbc.Driver);       //加载驱动
Connection con = DriverManager.getConnection("jdbc:mysql://....");  //创建与mysql中某个数据库的连接

Statement st = con.CreateStatement();    //创建一个Statement对象

String id = "03";                        //
String sq = "delete from table1 where id="+id; //构建sql语句
st.execute(sq);          //执行sql语句

上面这段代码的本意是要删除id=03的记录,但是如果有人将id的内容改为“03 or 1=1”。那么表中的任何记录都将被删除,后果十分严重。

  这是Statement的一大缺点:不能防止sql注入。

  另一个缺点是,每次执行都需要重新编译sql语句,效率低下。而PreparedStatement则解决了这些问题。

 

方法二:创建PreparedStatement对象

Class.forName(com.mysql.jdbc.Driver);       //加载驱动
Connection con = DriverManager.getConnection("jdbc:mysql://....");  //创建与mysql中某个数据库的连接


String sq = "delete from table1 where id=? and name=?"//构建sql语句,以?作为占位符,这个位置的值待设置
PreparedStatement ps = con.prepareStatement(sq);    //创建PreparedStatement时就传入sql语句,实现了预编译

ps.setString(1,"03");
ps.setString(2,"mao");          //设置sql语句的占位符的值,注意第一个参数位置是1不是0

ps.execute();          //执行这个PreparedStatement

//设置占位符的值还可以通过setObject(int,object)完成


//上面代码的作用时删除表中id=03且name=mao的记录

  为什么PreparedStatement能防止sql注入呢?

  因为sql语句是预编译的,而且语句中使用了占位符,规定了sql语句的结构。用户可以设置"?"的值,但是不能改变sql语句的结构,因此想在sql语句后面加上如“or 1=1”实现sql注入是行不通的。

实际开发中,一般采用PreparedStatement访问数据库,它不仅能防止sql注入,还是预编译的(不用改变一次参数就要重新编译整个sql语句,效率高),此外,它执行查询语句得到的结果集是离线的,连接关闭后,仍然可以访问结果集。

xlantian
关注
  • 30
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
java持久层框架mybatis防止sql注入的方法
09-01
总结来说,MyBatis通过预编译的PreparedStatement有效地防止了大部分SQL注入攻击,但开发者仍需谨慎对待`${}`的使用,并在必要时进行额外的输入验证和过滤,以确保应用的安全性。在编写MyBatis的映射语句时,优先...
java 防sql preparedstatement_PreparedStatement是如何防止SQL注入的?
weixin_32323465的博客
02-26 196
为什么在Java中PreparedStatement能够有效防止SQL注入?这可能是每个Java程序员思考过的问题。首先我们来看下直观的现象(注:需要提前打开mysql的SQL文日志)1. 不使用PreparedStatement的set方法设置参数(效果跟Statement相似,相当于执行静态SQL)String param = "'test' or 1=1";String sql = "sel...
PreparedStatement 防止 SQL 注入原理
Acx7的博客
12-10 2568
前言   PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象不能防止 SQL 注入,接下来使用一个案例剖析原理。 原理 使用如下代码模拟 SQL 注入 总结   由最终执行的 SQL 可以看出,PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。   PreparedStatement 可以有效防止 SQL 注入,你
2024年C C++最新【MySQL系列】使用C语言来连接数据库_c语言连接mysql,C C++体系化进阶学习图谱
最新发布
2401_84976182的博客
05-13 467
首先,我们要找到刚刚开始下载的 MySQL数据库 的安装目录,打开目录,并且将 libmysql.dll文件 和 libmysql.lib文件 复制到工程目录下~右键MySQL工程,选择属性 右键,选择 C/C++,选择常规,选择 附加包含目录,同时进行编辑,将刚刚复制的 include路径 给粘贴上去~第二步,输入 musql -uroot -p,回车后,输入一开始安装MySQL数据库是设置的密码,之后回车进入数据库~但是,在加入 插入数据的代码之后,运行一下,我们就会发现 多出来一条数据~
java的JDBC中 占位符的使用问题, PreparedStatement 的 ?占位符不可用来设置字段名,表名
qq_45401638的博客
10-28 5372
1. 博主今天被一个问题给困扰半天 就是当 String sql = "select * from user where ?=? "; 在jdbc中的sql语句这样写的时候 控制台 一条数据都查询不出来,究其原因就是?不能作为字段名和表名的占位符 PreparedStatement会为占位符?的两边自动加上单引号,这样会使得SQL语句不可执行,比如使用将表名设置为占位符,数据库执行sql语...
Statement和PreparedStatement的区别及占位符使用方法
lzhNox的博客
07-19 1376
Statement与PreparedStatement的区别及占位符使用
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1072
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
mybatis防止SQL注入的方法实例详解
08-27
例如,在 mapper 文件中可以使用预编译语句来防止 SQL 注入: ```xml SELECT name FROM user where id = #{userId} ``` 在对应的 Java 文件中,可以使用预编译语句来避免 SQL 注入攻击: ```java public ...
java防止SQL注入
11-19
有两种简单的方法可以防止 SQL 注入攻击: 1. 采用预编译语句集 预编译语句集内置了处理 SQL 注入的能力,只要使用它的 setString 方法传值即可: String sql= "select * from users where username=? and ...
Java防止SQL注入的几个途径
12-14
使用 PreparedStatement 可以防止 SQL 注入攻击,因为攻击者不能 inject 恶意的 SQL 语句。 3.过滤用户的输入 在 WEB 层我们可以过滤用户的输入来防止 SQL 注入。例如,可以使用 Filter 来过滤全局的表单参数。...
java防止sql注入.pdf
12-09
6. **安全的参数化查询**:虽然此示例没有直接展示,但在实际应用中,预防SQL注入的最佳实践是使用预编译的SQL语句,如Java的`PreparedStatement`,它可以自动处理字符串转义,有效地防止SQL注入。 7. **输入长度...
prepareStatement的使用
weixin_44720982的博客
05-06 4601
使用prepareStatement完成数据库增删改查功能
PreparedStatement防止sql注入的原理
m0_53328194的博客
05-27 1467
Class.forName(com.mysql.jdbc.Driver); Connection con = DriverManager.getConnection("jdbc:mysql://...."); Statement st = con.CreateStatement(); String id = "03"; String sq = "delete from table1 where id="+id; st.execute(sq); 上面这段代码的本意是要删除id=03的记录,但是如果有人将id
24、PrepareStament
JavaDayUp
11-12 1613
学习目标: 1、了解PreparedStatement接口的意义 2、掌握PreparedStatement的使用 学习过程: 一、PreparedStatement接口简介 PreparedStatement是预编译的SQL语句,它继承了Statement 接口,使用PreparedStatement的优点是: (1)书写代码比较规范,不需要字符串的连接,毕竟字符串连接长了之后,看起...
java程序防止sql注入的方法
04-28 109
ueryString = "from table item where clum1 like :param"; 冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到param参数上:     List result = session.createQuery(queryString)                      .setString("param", param)                      .lis
java项目中如何防止sql注入
热门推荐
alan_liuyue的博客
03-07 2万+
简介 SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数格式控制; 后台进行参数格式化,过滤所有涉及sql的非法字符; //参考:https://freeman983.iteye.com/blog/1153989 //过滤 '...
Java防止SQL注入有哪些方法?
yinshipeng2012的专栏
05-07 498
内容导读:JavaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑.      如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为 PreparedStatement不允许在不同的插入时间改变查询的逻辑结构,大部
Java SQL注入危害这么大,该如何来防止呢?
qq_42575330的博客
04-14 694
简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 JDBC 介绍 JDBC: 全称 Java Database Connectivity 是 Java 访问数据库的 API,不依赖于特定数据库 ( database-independent ) 所有 J...
Java 如何防止sql注入
开发猫
10-20 9325
java 如何防止sql注入 SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是因为程序员没有做好判断,被不法用户钻了SQL的空子,这里结合网上资料,给出java如何防止收起来注入的方法。 java 方法/步骤 1 javaSQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用Prep...
代码审计[java 安全编程] - T00LS
04-20
最有效的防止SQL注入的方法是使用预编译的SQL语句,如Java的`PreparedStatement`。这允许将参数值与SQL命令分开,从而避免了直接的数据拼接。 **漏洞示例二:预编译使用有误** 尽管使用了`PreparedStatement`,但...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值